Un grupo de ciberdelincuentes aprovechó esta semana una falla en los sistemas de correo electrónico en la nube de Microsoft y logró comprometer 25 cuentas de dependencias del Gobierno de Estados Unidos y el Pentágono. La banda de hackers, conocida como tormenta-0558 y en la mira por tener vínculos con Porcelanaintroducido con un método de piratería conocido.
Después de que Microsoft publicara la información que detalla el caso, un funcionario del gobierno dijo que el Pentágono fue la primera agencia en descubrir la intrusión del grupo. A partir de ese momento, detectaron una gran cantidad de agencias gubernamentales afectadas: desde el Departamento de Estado incluso cuentas como la de la secretaria de Comercio, Gina Raimondo.
Paralelamente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos y el FBI reafirmaron que Microsoft había logrado determinar que un grupo de atacantes accedió a los datos «desde un pequeño número de cuentas» tras hacerse pasar por otros usuarios legítimos.
El contexto geopolítico de la rivalidad entre ambas potencias -la intrusión fue detectada por el Departamento de Estado poco antes del viaje del secretario de Estado Antony Blinken a Pekín el mes pasado- condicionó el denominador común de las cuentas comprometidas: funcionarios estadounidenses con vínculos políticos con China.
Por otro lado, el país asiático respondió: no solo negó que Storm-0558 fuera un grupo patrocinado por el país asiático, sino que también dijo que el informe de Microsoft era “extremadamente poco profesional” y que se trataba de una recopilación de información”copiada”.
Pero más allá de los tensos lazos entre China y EE. UU., Storm-0558 logró lo que se proponía: acceder a cuentas de dependencias oficiales de un gobierno como el de EE. UU.
Y para ello utilizaron una serie de tácticas, técnicas y procedimientos ya conocidos, pero muy eficaz.
Quien es Storm-0558
Storm-0558 no es un grupo muy conocido en el ecosistema de amenazas. De hecho, Microsoft lo puso en el mapa desde el caso que reveló esta semana, y sí señaló que tienen «muchos recursos», además de caracterizarse por atacar a las dependencias gubernamentales como blanco preferente. Este medio contactó a varias empresas de seguridad informática y analistas: algunos respondieron que no tenían información, otros prefirieron no hacer declaraciones.
Shobhit Gautam, arquitecto de seguridad de Hacker One, le dijo a Hackerread que la relación de Storm-0558 con China es especulación y que «funciona con malware personalizado (virus) como Cigril y Bling con fines de espionaje». Esta es la mayor diferencia específica del grupo: está orientado a la inteligencia.
Esto apoya la hipótesis de que es un “grupo patrocinado por el estado”¿Cómo se llama este tipo de hacker? En la publicación de Microsoft, Charlie Bell, vicepresidente ejecutivo de la empresa, aseguró que “este adversario se especializa en el espionaje desde el acceso no autorizado a los sistemas de correo electrónico”. En particular, para la “recopilación de inteligencia”.
Leer correos electrónicos después de un compromiso es uno de los métodos de espionaje más comunes en el ecosistema de amenazas actual. “Este tipo de adversarios motivados por el espionaje buscan abusar de las credenciales para obtener acceso a información confidencial en los sistemas de otras personas”, agregó Bell.
Otra peculiaridad es que, más allá de la compleja diplomacia entre los dos países, estos actores suelen atacar indiscriminadamente a personas y organizaciones: todo lo que contribuya a recopilar datos puede incluso justificar una intrusión.
Cómo entraron los hackers
Microsoft detectó «actividad anormal» hace aproximadamente un mes, el 16 de junio: «Durante las próximas semanas, nuestra investigación reveló que el 15 de mayo de 2023, Storm-0558 obtuvo acceso a cuentas de correo electrónico de 25 organizaciones, incluyendo agencias gubernamentales y cuentas de otros clientes”.
La investigación de Microsoft determinó que los ciberdelincuentes obtuvieron acceso a las cuentas de correo electrónico utilizando Outlook Web Access en Exchange Online (OWA) y Outlook.com «forjar tokens de autenticación para acceder a cuentas de usuario».
Los tokens de autenticación, o «tokens de sesión», constituyen la información de inicio de sesión del usuario, tanto para las computadoras como para las cuentas de servicio específicas. A nivel técnico, generan un valor alfanumérico que es consultado periódicamente por el ordenador para evitar que el usuario tenga que iniciar sesión de forma permanente, y pueden guardarse en la memoria del ordenador o en las cookies de un navegador.
En su análisis técnico del ataque, Microsoft informa cómo Storm-0558 ingresó a los sistemas de cuentas de funcionarios estadounidenses: utilizaron una clave adquirida para falsificar tokens de acceso OWA y perspectiva.comluego aprovecharon un error en la validación del token para hacerse pasar por usuarios de azuread (la nube de la empresa) y obtenga acceso a las cuentas de correo electrónico de la empresa.
Lo interesante es que la actividad maliciosa de Storm-0885 permaneció sin ser detectada durante un mes, hasta que los clientes de Microsoft descubrieron una serie de anomalías. Esto podría posicionar al grupo entre lo que se conoce como APTO (Amenaza Persistente Avanzada)un tipo de intrusión que se instala en equipos y redes de terceros y no se detecta pero puede operar sin llamar la atención.
Una vez detectado, Microsoft se puso en contacto con sus clientes para advertir sobre el abuso de esta plataforma y notificó a las agencias gubernamentales oficiales, incluido el Departamento de Ciberseguridad y la Agencia de Infraestructura de Seguridad para coordinar una respuesta.
Ciberataques: una amenaza creciente
Microsoft se enfrenta a un desafío diario en lo que respecta a la seguridad informática. Por gran cantidad de usuarios que tiene tanto Windows como sus servicios (Outlook, Office, etc.), la superficie de ataque es un objetivo frecuente entre los ciberdelincuentes.
Según el Informe Global de Amenazas de ESET correspondiente a la primera parte de 2023, publicado esta semana, “se observan tendencias que muestran la adaptabilidad de los ciberdelincuentes y su búsqueda incansable de nuevas formas de lograr sus objetivos, ya sea explotando vulnerabilidades, obteniendo accesos no autorizados, comprometer información confidencial o defraudar a las víctimas”.
«Este último compromiso de las agencias gubernamentales de EE. UU. y Europa occidental amplifica una vez más el riesgo sistémico de la tecnología de Microsoft y la crisis de confianza que enfrentan sus clientes. Las organizaciones necesitan invertir en seguridad, tener un proveedor monolítico que se haga cargo de toda su tecnología, productos, servicios y seguridad, puede terminar en un desastre”, explicó, consultado por Clarín, Adam Meyers, Jefe de Inteligencia de multitudhuelga.
“Hay una razón por la que los líderes federales han estado presionando públicamente a los fabricantes de software para que construyan productos que sean seguros por diseño. Desafortunadamente, ese mensaje parece seguir cayendo en saco roto en redmond“, concluyó. Redmond es la sede de Microsoft, en el Estado de Washington, cerca de Seattle.
Estados Unidos, por su parte, publicó este jueves una Estrategia Nacional de Ciberseguridad, para “defender la infraestructura crítica, desmantelar a los actores de amenazas, desarrollar la seguridad del mercado e invertir en un futuro resiliente”.
Mientras tanto, el panorama global de amenazas muta día a día.
SL