Microsoft advirtió el viernes que los piratas informáticos del gobierno ruso a los que había culpado de piratear el correo electrónico de sus ejecutivos el mes pasado han estado aprovechando lo que robaron para intentar ingresar a los sistemas informáticos de los clientes. El servicio de inteligencia extranjero también había intensificado sus ataques contra la propia Microsoft en busca de nuevas áreas donde comprometerse. El «ataque del grupo se caracteriza por un compromiso sostenido y significativo de los recursos, la coordinación y el enfoque del actor de la amenaza», escribió Microsoft en su blog de seguridad. «Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a estados-nación». Microsoft dijo que estaba revisando correos electrónicos que habían sido robados de ejecutivos y su personal de seguridad, y advirtiendo a los clientes cuyos secretos podrían haber sido robados. revelado en esa correspondencia. Se negó a decir a cuántos clientes había alertado, ni a descartar si los piratas informáticos habían robado el código fuente o permanecían dentro de la empresa. Hewlett-Packard Enterprise, que proporciona servicios en la nube a importantes empresas, también dijo el mes pasado que había sido pirateada. El éxito de la campaña hasta la fecha ha conmocionado a funcionarios de inteligencia en múltiples continentes, quienes han advertido en privado a docenas de víctimas más. Han emitido advertencias a los usuarios de servicios en la nube, incluidos los programas Office de Microsoft y el correo electrónico Outlook, con recomendaciones detalladas sobre cómo reforzar sus instalaciones. El jueves, la Agencia de Seguridad Nacional de EE. UU. y el Departamento de Seguridad Nacional recomendaron que los clientes evalúen el historial de seguridad de sus proveedores, auditar los registros de actividad de sus cuentas y limitar la autoridad de los usuarios. Aunque Amazon y Google de Alphabet son importantes vendedores de servicios en la nube, ninguno ha anunciado mayores ataques ni tiene tantas agencias gubernamentales sensibles como clientes como Microsoft. Ambos declinaron hacer comentarios. (El fundador de Amazon, Jeff Bezos, es propietario de The Washington Post). Microsoft atribuyó los ataques en curso a un grupo SVR al que llama Midnight Blizzard y al que otras empresas de seguridad se refieren como APT29 o Cozy Bear. Es el mismo grupo que pirateó la empresa de software de red SolarWinds en 2020. En ese caso, los piratas informáticos insertaron una puerta trasera en el código de SolarWinds que les permitió profundizar en nueve agencias federales y otros 100 clientes de SolarWinds. Como parte de esa campaña de piratería, el Los intrusos comprometieron a los revendedores de Microsoft con acceso continuo a los clientes y luego agregaron o modificaron cuentas en busca de correos electrónicos para robar. La SEC demandó a SolarWinds el año pasado por no informar a los accionistas que sus sistemas estaban sujetos a ataques. Las entrevistas con personas que respondieron a ataques recientes muestran que los revendedores siguen siendo un objetivo para el SVR, especialmente aquellos que tienen acceso constante a los clientes a través de «cuentas de servicio» que puede agregar o eliminar nuevos usuarios de Microsoft. “Una de las cosas que estamos viendo es el continuo abuso y explotación de empresas más pequeñas que establecerán inquilinos de correo electrónico para organizaciones pequeñas. Eso permite al actor de amenazas comprometer el entorno de la pequeña empresa y obtener acceso de administrador a todos los correos electrónicos de los inquilinos que hayan configurado en el pasado”. dijo Charles Carmakal, director de tecnología del negocio de seguridad Mandiant de Google. «Obtener acceso a estas cuentas proporciona a los actores de amenazas un acceso inicial privilegiado a una red, para lanzar nuevas operaciones», dijo el Centro Nacional de Seguridad Cibernética de Gran Bretaña (NCSC) en un boletín del pasado semana. «Las campañas de SVR también se han dirigido a cuentas inactivas que pertenecen a usuarios que ya no trabajan en una organización víctima pero cuyas cuentas permanecen en el sistema». El NCSC dijo que los servicios de inteligencia de los «Cinco Ojos»: Gran Bretaña, Australia, Canadá y Nueva Zelanda. y Estados Unidos, coincidieron en que el SVR de Rusia fue el autor del ataque. Dijo que el SVR había ampliado sus objetivos de agencias nacionales y grupos de expertos para incluir aviación, educación, aplicación de la ley, gobiernos locales y objetivos militares. La evaluación revisada de Microsoft renovó las preguntas sobre su capacidad para defenderse a sí mismo y a sus clientes sensibles. La intrusión es una de las múltiples infracciones cometidas por el SVR en los últimos años. En un incidente anterior, los piratas informáticos recuperaron el código fuente del sistema de autenticación de identidad de la empresa. Microsoft también fue utilizado por piratas informáticos del gobierno chino el año pasado como trampolín para robar correos electrónicos de funcionarios de los departamentos de Estado y Comercio. Chris Krebs, director de inteligencia de la empresa de seguridad SentinelOne, dijo que Rusia y otros están apuntando naturalmente a los proveedores de nube a medida que más grandes empresas y gobiernos Llegamos a depender de ellos. “No hemos llegado a un punto débil para ellos que pueda hacer que reconsideren su estrategia de perseguir a estas grandes empresas de servicios en la nube como Microsoft. Lo tienen firmemente en su lista de prioridades de ataque”, dijo Krebs, quien anteriormente dirigió la Agencia de Seguridad de Infraestructura y Ciberseguridad. En el caso más reciente, la divulgación inicial de Microsoft decía que los piratas informáticos de SVR habían accedido a una cuenta de prueba inactiva en la nube. Pero no dijo cómo habían llegado desde allí a los correos electrónicos de los altos ejecutivos, y esa pregunta sigue sin respuesta, lo que mantiene abierta la posibilidad de que el SVR haya descubierto una nueva falla importante en el sistema de nube Azure de Microsoft. “Está claro que la autenticación es una Esto es un desastre dentro de Microsoft”, dijo Adam Meyers, vicepresidente senior de CrowdStrike, que al igual que SentinelOne compite en el negocio de la seguridad con Microsoft. Meyers dijo que era peligroso que muchos clientes gubernamentales dependieran de Microsoft no sólo para el procesamiento de textos y el correo electrónico, sino también para la autenticación y seguridad. “Si pones todos tus huevos en una canasta, y esa canasta es Microsoft, esa canasta tiene un gran agujero en forma de huevo”, dijo Meyers. «Necesita seguridad por capas».

Source link