Un «adversario con sede en China» al que Microsoft ha dado el sobrenombre de «Storm-0558» ha violado los servidores de correo electrónico de «aproximadamente» 25 organizaciones estadounidenses, incluidas agencias gubernamentales, Microsoft alertó al público en una publicación de blog del 11 de julio.
El objetivo de más alto perfil alcanzado en el ataque parece ser la secretaria de Estado Gina Raimondo.
Microsoft atribuye a los piratas informáticos no al gobierno chino ni al Partido Comunista Chino, pero llama a los actores detrás de una serie reciente de ataques asociados con China «adversarios con buenos recursos» que «no distinguen entre tratar de comprometer cuentas comerciales o personales asociadas con organizaciones objetivo».
Aunque el informe es nuevo, se dijo que las infracciones ocurrieron a partir del 15 de mayo con una investigación de Microsoft que se inició el 16 de junio después de que los clientes informaron un problema.
MÁS SOBRE LOS EQUIPOS DE AMENAZA PERSISTENTE AVANZADA DEL PCCh
- Hackers chinos ‘patrocinados por el estado’ han comprometido infraestructura crítica de EE. UU., según Microsoft, NSA y CISA
- Advierten que el hardware crítico de la red eléctrica de EE.UU. es vulnerable a los ataques de hackers
El problema principal parece haber sido una vulnerabilidad de seguridad en el software de Microsoft que involucraba «el uso de tokens de autenticación falsificados para acceder al correo electrónico del usuario utilizando una clave de firma de consumidor de cuenta de Microsoft (MSA) adquirida».
Success
You are now signed up for our newsletter
Success
Check your email to complete sign up
Un informe técnico sobre la vulnerabilidad del Centro de respuestas de seguridad de Microsoft establece que tanto los servidores de correo electrónico de Outlook como los servidores de correo web se vieron comprometidos en el ataque mediante una vulnerabilidad que permitió a los atacantes hacerse pasar por las credenciales de seguridad de los usuarios legítimos de Microsoft Azure.
El correo electrónico y el correo web de Outlook fue el único vector explotado, y los tokens del sistema Azure de clase empresarial no parecen estar comprometidos.
La compañía señala que se ha asociado con el Departamento de Seguridad Nacional y la Agencia de Seguridad de Infraestructura y Ciberseguridad en su investigación del ataque.
El aviso de Microsoft al público sobre el ataque es notablemente breve y escaso en detalles.
En un artículo del 12 de julio sobre el hackeo, The Wall Street Journal declaró: «El alcance completo y la gravedad del incidente, y qué instituciones e individuos fueron hackeados, no se podían saber» al momento de escribir este artículo.
WSJ también dijo que el ataque «provocó alarma entre algunos funcionarios e investigadores de seguridad» y puede que no haya sido una infracción trivial.
Fuentes anónimas fueron citadass diciendo al medio que el ataque «se considera parte de una campaña de espionaje que potencialmente comprometió información valiosa que pertenece al gobierno de los EE. UU.».
“El incidente fue lo suficientemente grave como para desencadenar una sesión informativa reciente para el personal del Congreso por parte de la administración Biden”, agregó el Journal.
Pero los informes de The Washington Post arrojaron el evento bajo una luz mucho más seria, alegando que la cuenta de correo electrónico de la Secretaria de Comercio Gina Raimondo fue comprometida, junto con cuentas de correo electrónico no identificadas en el Departamento de Estado.
Los ataques “también fueron dirigidos a las cuentas de correo electrónico de un miembro del personal del Congreso, un defensor de los derechos humanos de EE. UU. y grupos de expertos de EE. UU.”, agregó el Post basándose en comentarios de “funcionarios y profesionales de la seguridad”.
The Post también declaró que el cliente que informó sobre la vulnerabilidad en el boletín de Microsoft era en realidad el gobierno federal.
Adam Hodges, portavoz del Consejo de Seguridad Nacional, fue citado en un comunicado al medio: «Las salvaguardas del gobierno de EE. UU. Identificaron una intrusión en la seguridad de la nube de Microsoft, que afectó a los sistemas no clasificados».
“Los funcionarios contactaron de inmediato a Microsoft para encontrar la fuente y la vulnerabilidad en su servicio en la nube”, agregó Hodges.
Charles Carmakal, CTO de Mandiant, una rama de Google, le dijo a WSJ que el ataque descrito es «muy avanzado» y agregó: «Cuando usa algo como esto en individuos, probablemente sean objetivos de muy alto valor».
Shobhit Gautam, arquitecto de soluciones de la empresa de seguridad cibernética HackerOne, dijo al sitio web de piratería HackRead que se «especula que Storm-0558 es un actor patrocinado por el estado» que «también se sabe que usa malware personalizado como Cigril y Bling con fines de espionaje».
En mayo, Microsoft advirtió que otro grupo denominado Volt Typhoon está “buscando el desarrollo de capacidades que podrían interrumpir la infraestructura de comunicaciones crítica entre los Estados Unidos y la región de Asia durante futuras crisis”.
Volt Typhoon es más notable porque Microsoft lo definió directamente como un «actor patrocinado por el estado con sede en China que generalmente se enfoca en el espionaje y la recopilación de información».
El modus operandi del grupo es similar al utilizado por Storm-0558 en el sentido de que se basaba en la suplantación de identidad y la adquisición de credenciales legítimas, pero era distinto en el sentido de que los operadores humanos recopilaban datos de sus objetivos, enrutándolos de vuelta a través de una serie de botnets y dispositivos comprometidos, como enrutadores domésticos.
Industrias críticas como IT, construcción, transporte y también entidades gubernamentales fueron el objetivo de Volt Typhoon en una campaña que opera entre los Estados Unidos y Guam que se lleva a cabo desde al menos 2021, dijo Microsoft en ese momento.
Las tensiones geopolíticas entre China continental y el Orden Internacional Basado en Normas se han agudizado en el primer y segundo trimestre de 2023, ya que la política globalista ahora opera bajo el mandato de «eliminar el riesgo» pero no «desacoplarse» de China.
Si bien la política arriesgada entre China y EE. UU. puede no tener el mismo tono nuclear sombrío que la guerra diplomática entre Washington y el Kremlin después de la Guerra de Ucrania, el Partido Comunista reinante ha demostrado que tiene dientes en el ciberespacio cuando no se está saliendo con la suya.
En mayo, Reuters publicó la historia de que el PCCh había lanzado ataques cibernéticos a gran escala contra el gobierno de Kenia a partir de 2019 después de que el país se retrasara en los pagos de la deuda contraída tras firmar el plan de desarrollo de la Franja y la Ruta de China.
Los informes de Reuters se basaron en documentos que vio de un contratista de defensa no identificado, que había «evaluado que los hacks tenían como objetivo, al menos en parte, obtener información sobre la deuda con Beijing».
Un analista con el que habló Reuters dijo que los piratas informáticos de China habían pasado tres años comprometiendo ocho ministerios y departamentos gubernamentales diferentes, incluida «la principal agencia de espionaje de Kenia».
Un portavoz del Ministerio de Relaciones Exteriores de China calificó las acusaciones de Storm-0558 como una «campaña de desinformación colectiva de los países de la coalición Five Eyes, iniciada por EE. UU. con fines geopolíticos».
La historia no fue cubierta por South China Morning Post, un medio de comunicación en inglés amigable con los intereses del gobierno chino, más allá de la republicación de un comunicado de AFP sobre las noticias.
