Microsoft acusa a China por ciberataque

Desde el 2 de marzo algunas fallas en el servicio de mensajería Microsoft Exchange Server fueron aprovechadas por grupos de ciberespionaje vinculados con el gobierno chino para sustraer información de cuentas de correo electrónico en Estados Unidos y el resto del mundo.

El pasado 2 de marzo Microsoft informó que servidores locales de usuarios de Microsoft Exchange Server fueron atacados por una organización de ciberespionaje respaldada por el gobierno chino. La organización identificada por Microsoft como Hafnium aprovechó algunas “vulnerabilidades” presentes en las versiones más recientes de Exchange Server para ingresar en cuentas de correo electrónico y sustraer información.

En términos llanos las debilidades del sistema permitieron a los hackers accesar a cuentas personales y servidores, haciéndose pasar por usuarios con acceso para sustraer información o ingresar elementos conocidos como “web shell” para matener control del sistema de manera remota.

Microsoft Exchange Server on premises es un sistema de mensajería que incluye un servidor local, un sistema de correo electrónico y aplicaciones para grupos de trabajo. El servicio de Exchange que se aloja en la nube no presenta estas fallas.

Los primeros ataques fueron detectados en enero del 2021. “A través de su servicio de Monitoreo de Seguridad de Red, Volexity detectó actividad anómala en dos servidores Microsoft Exchange de sus clientes. Volexity identificó una gran cantidad de información siendo enviada a direcciones de IP que parecía no estaban relacionados con usuarios legítimos”, se puede leer en el blog de Volexity.

Microsoft reconoció el apoyo de Volexity y Dubex que dieron seguimiento y apoyo para detectar los ataques. El primer reporte fue descubierto y reportado por DEVCORE, una empresa de expertos en ciberseguridad.

Ante la amenaza Microsoft urgió a los usuarios a actualizar su sofware con “parches” – ofrecidos por la misma compañía – y señaló que en caso de que no se puedan tomar medidas de forma inmediata, debían asegurarse de que sus servidores no estén comprometidos. Sin embargo, las medidas implementadas para evitar formas de ataques usadas previamente y no garantizan suprimir otras formas de explotar las fallas del sistema.

Posteriormente, Microsoft coordinó acciones con la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), orientando a los usuarios para tomar acciones urgentes.  El 3 de marzo la CISA emitió medidas de emergencia “requiriendo que los departamentos y agencias civiles del gobierno federal que usen productos de Microsoft Exchange en servidores locales actualicen o desconecten los productos de sus redes hasta que esté actualizado el parche de Microsoft”

El 5 de marzo KrebsOnSecurity reportó que al menos 30,000 organizaciones fueron hackeadas en Estados Unidos y sembraron los sistemas de centenares de miles de victimas en todo el mundo con herramientas para controlarlos de forma remota. Entre los usuarios afectados se encontrarían bancos, departamentos de policía, empresas de telecomunicaciones, entre otros.

Por su parte, Reuters informó que 20,000 organizaciones habían sido comprometidas. En la última actualización, The Washington Post indicó que las victimas podrían contarse hasta 60,000 casos en todo el mundo, incluyendo La Auoridad Bancaria Europea.

Línea del tiempo del ataque de Microsoft Exchange

  • 5 de enero: Microsoft recibe el primer reporte de DEVCORE

  • 6 de enero: Volexity detecta ataques que aprovechan «vulnerabilidades» desconocidas hasta el momento de Microsoft Exchange.

  • 27 de enero: Microsoft es alertado por otra falla en Exchange por Dubex.

  • 18 de febrero: Microsoft confirma a DEVCORE que el 9 de marzo publicaría las actualizaciones para contrarrestar las «vulnerabilidades» de Exchange.

  • 26 de febrero: Comienzan los ataques a gran escala a servidores de Exchange.

  • 2 de marzo: Una semana antes de lo planeado se liberan las actualizaciones para mitigar las fallas del programa.

  • 3 de marzo: Decenas de miles de servidores quedan comprometidos ante los ataques.

  • 6 de marzo:   La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) comunica que el ataque tiene un amplio impacto a nivel nacional e internacional.

La extensión del daño también fue reconocida por la Secretaria de Prensa de la Casa Blanca, Jen Psaki, quien señaló que “esta es una vulnerabilidad significativa que podría tener impactos de gran alcance” añadiendo que era “una amenaza activa”.

En el mismo post de KrebsOnSecurity se retoma sentencia del cofundador de Volexity, Steven Adair: aún resolviendo las 4 vulnerabilidades no será suficiente pues se deben resolver los ataques posteriores realizados por los hackers a otras partes del sistema.

“Incluso si parchaste tu sistema el mismo día que Microsoft publicó los parches, aún existe una gran probabilidad de que exista un web shell en tu servidor. La verdad es que si estás usando Exchange y no has parcahdo aún existe una gran probabilidad de que tu organización ya se encuentre comprometida”, señaló Adair.

«Volexity identificó una gran cantidad de información siendo enviada a direcciones de IP que parecía no estaban relacionados con usuarios legítimos”

En diversos blogs de expertos en la materia predomina la opinión de que para erradicar las secuelas de esta crisis será necesario realizar una limpieza del sistema a escala nacional comenzando con el análisis de la existencia de lo que denominan “puertas traseras”.

En la actualización del 8 de marzo Microsoft indicó que múltiples actores siguen tomando ventaja de sistemas no actualizados. La compañía dio a conocer una lista de Indicadores de Compromiso Observados: elementos maliciosos usados por los atacantes que muestran que un sistema está comprometido.

¿Qué grupo perpetró el ataque?

De acuerdo con el Centro de Inteligencia sobre Amenazas de Microsoft, Hafnium es un grupo “altamente calificado y sofisticado” patrocinado por el gobierno chino que lleva a cabo sus operaciones principalmente desde servidores privados virtuales ubicados en Estados Unidos y que amenaza entidades de este mismo país.

Microsoft menciona que este grupo de hackers ha tenido en la mira diversas instituciones estadounidenses a los cuales ha intentado robar información de bufetes de abogados, contratistas de defensa, organizaciones que investigan enfermedades infecciosas y universidades.

Según el post de Volexity  “Atacantes altamente calificados continuan inovando para traspasar las defensas y ganar acceso a sus clientes, (…) Estos atacantes están conduciendo nuevos ataques para traspasar la autentificación, incluyendo la autentificación en dos pasos,  permitiendoles accesar a las cuentas de email de interés dentro de organizaciones objetivo y ejecutar su código de manera remota en servidores de Microsoft Exchange.

Ilustración: Fernando Buenrostro.