En una ofensiva contra los servidores de Microsoft Exchange ejecutada por hackers chinos, se les unió un frenesí de otros adversarios. El ciberataque afectó a más de 30.000 correos electrónicos en los Estados Unidos.
Ofensiva contra los servidores de emails de Microsoft: antecedentes e impacto
Piratas informáticos de procedencia china tuvieron acceso a más de 30 mil correos electrónicos de varias organizaciones de tipo gubernamental y privada de los Estados Unidos, según el informe de la empresa de ciberseguridad KrebsOnSecurity.
Antecedentes e impacto de la ofensiva contra los servidores de Microsoft Exchange
El método utilizado ha sido un shell web, herramienta para hackers protegida por contraseña a la que se puede acceder desde cualquier navegador web. El shell web brinda a los ciberdelincuentes el acceso administrativo a los servidores informáticos de las víctimas en cualquier momento.
Hafnium: los responsables iniciales de la operación china
Según informó el MIT Technology Review, la campaña de ciberataques vinculada al gobierno chino revelada por Microsoft esta semana se ha intensificado. Cuatro grupos de piratas informáticos han atacado fallos críticos en el software de correo electrónico de Microsoft en una campaña cibernética que el gobierno de EE.UU. describe como explotación nacional generalizada. Tiene el objetivo de afectar a cientos de miles de víctimas en todo el mundo.
Desde enero de 2021, hackers chinos bajo el nombre Hafnium comenzaron a explotar las vulnerabilidades de Microsoft Exchange. Hafnium es un sofisticado grupo de ciberdelincuentes chinos que lleva mucho tiempo realizando campañas de ciberespionaje contra Estados Unidos, según Microsoft.
En su blog corporativo, mencionan que “en primer lugar, los ciberdelincuentes accedieron a un servidor Exchange con contraseñas robadas o utilizando las vulnerabilidades no descubiertas previamente para disfrazarse de alguien que debería tener acceso. Segundo, creaba lo que se llama una shell web para controlar el servidor comprometido de forma remota. Tercero, utilizaría ese acceso remoto -ejecutado desde los servidores privados con sede en Estados Unidos- para robar datos de la red de una organización”.
4 grupos de hackers se han unido a la operación
Pero desde que la compañía reveló públicamente la campaña, cuatro grupos más se han unido, siendo 5 grupos en su totalidad, según reportó Katie Nickels al medio MIT Technology Review. Nickels dirige un equipo de inteligencia en la empresa de ciberseguridad Red Canary.
Además, Nickels argumentó que los hackers chinos originales intensificaron los ataques que estaban llevando a cabo. La creciente lista de víctimas incluye a decenas de miles de empresas y oficinas gubernamentales estadounidenses que están en el punto de mira de los nuevos grupos. Lo más probable, es que el grupo original de hackers vendiera el código de explotación o que otros ciberdelincuentes hicieran ingeniería inversa de los exploits basándose en las correcciones que publicó Microsoft.
No obstante, si bien aplicar las correcciones de software de Microsoft es un primer paso, el esfuerzo de limpieza total será más complicado para las víctimas potenciales. Especialmente, cuando los grupos de hackers se movieron con libertad a otros sistemas de la red. Según la compañía, están trabajando con la CISA (Agencia de CIberseguridad y Seguridad de las Infraestructuras), otras compañías gubernamentales y empresas de seguridad, con el objetivo de asegurar la mejor orientación y mitigación para los clientes.
¿Es una banda de ciberdelincuentes fuera de control?
“Este es un gran truco loco. Los números que he escuchado empequeñecen lo que se informa aquí y por mi hermano de otra madre. ¿Por qué sin embargo? ¿Es esto una flexión en los primeros días del administrador de Biden para probar su resolución? ¿Es una banda de ciberdelitos fuera de control? ¿Los contratistas se volvieron locos?”, preguntaba Chris Krebs, exfuncionario de ciberseguridad de los Estados Unidos, en su cuenta de Twitter. “¿Cuenta regresiva para ransomware? ¿Recuerda todo eso de “aquellos que menos pueden pagarlo?” ¿Qué pasa después?”, agregó Krebs.
Finalmente, Krebs agrega que con los múltiples grupos que atacan las vulnerabilidades, se espera que los hackeos afecten desproporcionadamente a las organizaciones que menos pueden defenderse. Escuelas, pequeñas empresas, gobiernos locales, entre otras entidades.
Ofensiva contra los servidores de Microsoft Exchange no es igual a SolarWinds
Aunque Microsoft haya emitido correcciones para los defectos, el adversario sigue teniendo acceso de los backdoors a sus objetivos. Además, el 10% de los clientes han aplicado los cambios, por lo que el problema es más complicado. Los ciberdelincuentes son capaces de moverse libremente a otros sistemas de la red.
Según Nickels, hay servidores vulnerables en los que el backdoor está abierto, pero se desconoce si un hacker lo ha atravesado. Por otro lado, hay servidores ligeramente comprometidos. Finalmente, está el otro extremo del espectro en que los adversarios tuvieron actividad de seguimiento y se trasladaron a otros sistemas.
Con cientos de miles de víctimas potenciales en todo el globo terráqueo, esta campaña de hacking ha afectado más objetivos que el hack de SolarWinds, algo que el gobierno de Estados Unidos está esforzándose por limpiar.
Sin embargo, al igual que SolarWinds, los números no lo son todo: los hackers buscan objetivos específicos de alto valor, a pesar de que tenían acceso a varios miles. Entonces, las cifras totales son alarmantes, pero no todos los compromisos son catastróficos.
Hasta el momento, Microsoft ha publicado varias actualizaciones de seguridad, con el objetivo de cubrir las vulnerabilidades y sugiere su instalación inmediata.
Discusión sobre este post