Los piratas informáticos respaldados por el gobierno ruso están detrás de la violación de seguridad del correo electrónico corporativo de Microsoft


Se ha culpado a piratas informáticos patrocinados por el estado por la violación de seguridad del 12 de enero en Microsoft que resultó en el robo de algunos correos electrónicos corporativos, según una publicación reciente del blog del Centro de respuesta de seguridad de Microsoft (MSRC).

Microsoft nombró culpable al famoso grupo de hackers ruso Midnight Blizzard, también conocido como NOBELIUM y Cozy Bear. La compañía dijo que se accedió a una cantidad relativamente pequeña de cuentas de correo electrónico de los empleados, pero que algunas de las cuentas comprometidas incluían a miembros del equipo directivo superior. Midnight Blizzard no parecía estar intentando penetrar más en la red, sino que revisó cuentas de correo electrónico relevantes de la empresa.

La violación de seguridad de Microsoft parece haber sido un esfuerzo de reconocimiento por parte de piratas informáticos rusos

Los piratas informáticos patrocinados por el Estado suelen ser cautelosos y pacientes a la hora de aprovechar su acceso a objetivos de alto nivel, y este incidente no parece ser una excepción. Microsoft dijo que la violación de seguridad se detectó el 12 de enero y que el acceso no autorizado fue bloqueado al día siguiente, pero el incidente comenzó a fines de noviembre del año pasado con un exitoso ataque de contraseña. Este ataque comprometió una cuenta obsoleta de inquilino de prueba que no era de producción.

Microsoft dijo que los atacantes utilizaron los privilegios de la cuenta para acceder a una “pequeña cantidad” de cuentas de correo electrónico corporativas, incluidos miembros del equipo directivo superior y empleados de ciberseguridad. El objetivo del grupo parece ser descubrir cualquier información que los empleados puedan tener y robar correos electrónicos y archivos adjuntos específicos.

Microsoft ha dicho que no se accedió a ningún entorno de cliente, sistemas de producción, inteligencia artificial o código fuente durante la violación de seguridad. No hay ninguna acción recomendada para los clientes en este momento. Las operaciones de la empresa no se han visto afectadas materialmente, según su reciente presentación del Formulario 8-K.

Aunque Microsoft ha minimizado el impacto de la violación de seguridad en declaraciones públicas, el senador crítico Ron Wyden acusó a Redmond de negligencia, calificó el incidente como un “ataque totalmente evitable” e instó al gobierno a argumentar que la relación entre Japón y China debería ser reevaluado. El senador Wyden ha estado persiguiendo a Microsoft de esta manera desde un ataque a mediados de 2023 en el que piratas informáticos respaldados por el gobierno chino accedieron a las cuentas de correo electrónico M365 de altos funcionarios del gobierno.

Los incidentes recientes de piratas informáticos patrocinados por el estado generan preocupación sobre la seguridad de Microsoft

Wyden no es el único que plantea dudas sobre la violación de seguridad. Muchos analistas de seguridad se han preguntado por qué Microsoft no impuso la autenticación multifactor en cuentas con este nivel de privilegios en sus sistemas de correo electrónico. Una pregunta más fundamental es por qué alguna cuenta de prueba fuera de producción tendría este nivel de acceso en primer lugar.

Los piratas informáticos respaldados por el Estado ruso son un adversario formidable, pero su infiltración en el sistema parece haber sido más fácil de lo habitual. El grupo es conocido por desarrollar y utilizar malware, y dio a conocer su presencia en el mundo por primera vez alrededor de 2010 con su campaña “MiniDuke”. Las noticias sobre ciberseguridad rara vez llegan a la prensa principal, pero durante la temporada de elecciones presidenciales de EE. UU. de 2015-2016, se infiltraron en el Departamento de Defensa, el Comité Nacional Demócrata, varios grupos de expertos y ONG, y dirigieron el “Cozy se hizo famoso como “Bear”. “. Esto dio lugar a acusaciones de interferencia electoral, que los investigadores de seguridad creen que fue ordenada por el Kremlin.

La Agencia General de Inteligencia y Seguridad de Holanda se ha infiltrado anteriormente en el grupo y cree que tiene vínculos más estrechos con la inteligencia rusa, como suelen hacer los piratas informáticos patrocinados por el Estado. Las imágenes de las cámaras de vigilancia parecen confirmar que el grupo está bajo el mando directo del Servicio de Inteligencia Exterior de Rusia (SVR). El grupo ha estado a la ofensiva durante años y se le atribuye haber atacado a gobiernos occidentales para robar datos sobre el coronavirus, así como la campaña SUNBURST que afectó a SolarWinds en 2020. También es el principal sospechoso de la violación de seguridad de Microsoft en 2022 que introdujo el malware MagicWeb.

Mientras tanto, Microsoft sigue luchando por mantener a los piratas informáticos patrocinados por el Estado fuera de sus redes internas. No sorprende que la compañía sea el objetivo de algunos de los piratas informáticos más avanzados del mundo, pero sí sorprende que parezcan estar explotando trucos relativamente simples y descuidos fácilmente reparables para ingresar. El ataque de piratas informáticos patrocinados por el estado chino a mediados de 2023 podría haber sido descubierto fácilmente por los clientes de Microsoft utilizando herramientas de registro estándar, pero esas herramientas solo están incluidas en las suscripciones “premium” de Microsoft 365. Provocó indignación porque la mayoría de los clientes no las usan. mucho más.

Arie Zilberstein, director ejecutivo y cofundador de Gem Security, dijo que en este caso, los piratas informáticos patrocinados por el estado solo necesitaban una contraseña exitosa para obtener acceso a largo plazo a las comunicaciones de los empleados de más alto nivel de la empresa. puede hacerse. “Aunque fue llevado a cabo por un actor de amenazas de un estado-nación, se trató de un ataque de difusión de contraseñas relativamente simple en lugar de un sofisticado ataque de día cero o de cadena de suministro. Sorprendentemente, los atacantes esperaron más de dos meses antes de ser descubiertos. Se alienta a las organizaciones a implementar un monitoreo continuo de los registros de la nube para detectar actividades anómalas antes de que los atacantes puedan acceder y filtrar datos confidenciales.

Carol Volk, vicepresidenta ejecutiva de BullWall, señala la respuesta relativamente discreta de Midnight Blizzard como la única razón por la que este incidente no terminó mucho peor para ellos. “Microsoft tuvo suerte esta vez. Aparentemente, el grupo criminal estaba buscando en los correos electrónicos lo que MS decía sobre ellos. Podrían haber robado o destruido fácilmente los datos. Los atacantes siempre pueden encontrar una manera de ingresar a su red, por lo que el aire regular Las copias de seguridad con espacios vacíos y un sistema de contención de ransomware de respuesta rápida deben ser parte de su conjunto de defensa completo”.

Mark B. Cooper, presidente y fundador de PKI Solutions, opina que es hora de que Microsoft elimine las contraseñas por completo. “Continuar usando contraseñas seguramente aumentará las violaciones de seguridad como la que experimentó Microsoft. Esto se debe a que se espera que las cuentas de prueba/no producción se usen durante un corto período de tiempo y no se usan para acceder a información confidencial. Esto es especialmente cierto si los controles de seguridad siguen siendo débiles: estándares de identidad y cifrado sólidos que cubran todas las identidades, temporales o no, son la única manera de detener el flujo de violaciones de contraseñas. Aunque las tecnologías más sólidas, como los certificados de autenticación y los tokens de seguridad, han existido durante décadas, así ha sido. Tradicionalmente ha sido fácil descartar la complejidad y los desafíos operativos como excusas para no proteger su empresa de la manera correcta”.



Fuente: https://www.cpomagazine.com/cyber-security/russian-state-sponsored-hackers-behind-microsofts-corporate-email-security-breach/