Hewlett Packard Enterprise (HPE) informó recientemente que piratas informáticos rusos se infiltraron en el entorno de correo electrónico en la nube de la empresa, lo que indica que el incidente puede estar relacionado con una violación de seguridad interna del correo electrónico anterior que ocurrió en 2023. presentó documentos de divulgación obligatorios ante la SEC;
Se entiende que esta violación de seguridad no tiene relación con el reciente anuncio de Microsoft de que piratas informáticos rusos habían violado las bandejas de entrada de altos ejecutivos de Microsoft. Más bien, parece estar relacionado con el ataque de mayo de 2023 que la compañía anunció anteriormente. Sin embargo, este incidente también involucró a Midnight Blizzard y tiene algunas similitudes con los recientes ataques de Microsoft.
HPE informa que una violación de seguridad compromete una “pequeña proporción” de altos ejecutivos y cuentas de ciberseguridad
De manera similar al reciente incidente de Microsoft, los piratas informáticos rusos parecen haber apuntado a una “pequeña porción de cuentas de HPE” de empleados que pueden tener información sobre el grupo, incluida la alta dirección y la ciberseguridad. Sin embargo, los atacantes también comprometieron cuentas de miembros del equipo legal, del departamento comercial y de otros departamentos.
El incidente ocurrió el 12 de diciembre, según documentos de la SEC. HPE cree que este incidente está relacionado con una violación de seguridad anterior que ocurrió en mayo de 2023. La compañía cree que Midnight Blizzard también estuvo involucrada en este incidente y que las cuentas de correo electrónico de algunos empleados se vieron comprometidas de manera similar. El incidente se hizo público en junio de 2023, justo antes de que Microsoft anunciara una violación generalizada de las cuentas de correo electrónico de Office 365. Sin embargo, el incidente de Microsoft involucró a piratas informáticos respaldados por el gobierno chino, de quienes actualmente no se sabe que estén relacionados con ninguna de las violaciones de correo electrónico de HPE. Durante la infracción se filtró una cantidad “limitada” de archivos de SharePoint de los buzones de correo.
Se han publicado pocos detalles sobre la última violación de seguridad de HPE, pero la compañía ha dicho que no espera que el incidente tenga un impacto significativo. Sin embargo, no está claro si esto significa que los piratas informáticos rusos estuvieron al acecho en el entorno de la empresa desde mayo hasta diciembre. Un comunicado anterior de HPE decía que la compañía había “tomado medidas de contención y remediación para erradicar esta actividad”. Un portavoz dijo a los medios de comunicación que las cuentas de correo electrónico comprometidas ejecutaban software de Microsoft.
Aunque aún no se sabe si existe alguna responsabilidad directa en este caso, es poco probable que el gobierno de EE. UU. se dé cuenta si se nombra a Microsoft en relación con una infracción de alto perfil. Lior Yaari, director ejecutivo y cofundador de Grip Security, dijo: “Microsoft y HPE son dos de las empresas de TI empresariales más grandes del mundo. Las filtraciones de datos son una prueba clara de que las defensas tradicionales de ciberseguridad se están violando con demasiada frecuencia, y es un recordatorio de que ninguna empresa, sin importar su ubicación, está a salvo de las persistentes maquinaciones de las empresas. Los piratas informáticos, especialmente aquellos que poseen información confidencial, deben considerar seriamente cómo prevenir estos ataques. Las empresas deben reconocer, responder y reevaluar rápidamente sus mecanismos de defensa para seguir el ritmo de la evolución de los vectores de amenazas. catástrofe espacial”.
Roger Grimes, evangelista de la defensa basada en datos de KnowBe4, señala que algún tipo de sistema heredado obsoleto que ya no está adecuadamente protegido suele ser la raíz de una infracción “impensable”. “En lugar de señalar con el dedo y preguntar por qué Microsoft todavía tiene sistemas heredados mal protegidos, tenga en cuenta que esto es cierto para la mayoría de las organizaciones medianas y grandes. Los defensores de la ciberseguridad rara vez se quejan de los sistemas heredados que se ven obligados a respaldar con fallas de seguridad importantes que las empresas rechazan. En cambio, lo mejor que pueden hacer es implementar defensas compensatorias para mitigar parte del riesgo. Entonces, en lugar de señalar con el dedo, vea si hay sistemas heredados que están menos protegidos. él.”
Los hackers rusos se vuelven activos en el año electoral
“Midnight Blizzard”, también conocida en el pasado como Cozy Bear, ha estado funcionando de manera constante durante más de 10 años. Los piratas informáticos rusos ganaron notoriedad por varios intentos de interferencia electoral en 2015 y 2016, pero su violación de seguridad más dañina puede haber sido el ataque a SolarWinds de 2019 a 2020. Este ataque fue emblemático de los métodos de Midnight Blizzard. Esto significa permanecer en silencio y limitar sus actividades, mantener el acceso a los objetivos durante largos períodos de tiempo y centrarse sólo en información específica y de alto valor para evitar la detección. La violación podría haber afectado a decenas de miles de clientes finales de SolarWinds, pero en última instancia, se estima que la información obtenida por los piratas informáticos rusos en poco más de un año fue accesible a aproximadamente 100 empresas (en su mayoría empresas de defensa) y alrededor de 10 agencias federales.
HPE ha sido blanco de actores de amenazas patrocinados por el estado en el pasado, pero no necesariamente de piratas informáticos rusos. A finales de 2018, un equipo que se cree que está asociado con el Ministerio de Seguridad del Estado de China violó HPE e IBM simultáneamente. Esto fue parte de una campaña “Cloudhopper” de mayor duración destinada a robar secretos comerciales de empresas de tecnología, pero finalmente solo unas pocas de las empresas comprometidas fueron nombradas públicamente. Fueron relativamente pocas.
Se espera que los piratas informáticos chinos y rusos patrocinados por el Estado estén activos durante el período electoral, pero algunos analistas de seguridad creen que será muy difícil lograrlo sin ser detectados, lo que dificultará que los votantes locales voten. hackear el sistema.
Más bien, lo más probable es que estas violaciones de seguridad tengan como objetivo recopilar información que pueda utilizarse en campañas de influencia. Durante mucho tiempo se ha pensado que Rusia apoya a los candidatos republicanos porque cree que probablemente recortarán la ayuda a Ucrania, pero hay división dentro del partido sobre el tema. Por el contrario, en general se piensa que los piratas informáticos chinos apoyan al Partido Demócrata. Esto se debe a que el gobierno cree que puede obtener más beneficios en política exterior del Partido Demócrata. Sin embargo, la situación ahora es incierta en medio de las crecientes tensiones sobre Taiwán.
En diciembre, los gobiernos de Estados Unidos y el Reino Unido culparon conjuntamente a los piratas informáticos rusos por una campaña global de piratería que duró ocho años y que tuvo como objetivo a parlamentarios, periodistas y ONG británicos. La campaña tenía como objetivo principal influir en la política británica, pero también incluyó al menos tres ataques a instalaciones de investigación nuclear estadounidenses y al menos una violación de seguridad en el Departamento de Energía. Las autoridades creen que la campaña todavía está activa, con un enfoque particular en irrumpir en las cuentas de correo electrónico de las celebridades.
Sarah Jones, analista de investigación de inteligencia sobre amenazas cibernéticas de Critical Start, proporciona más información sobre los posibles objetivos de los equipos de piratería patrocinados por el estado. “Tras el ataque a Microsoft, la intrusión en HPE por parte de los piratas informáticos de SolarWinds, comúnmente conocidos como ‘Nobelium’, puede percibirse de manera diferente desde diversas perspectivas. Desde una perspectiva, Nobelium tiene un historial de ataques persistentes y dirigidos a organizaciones de alto perfil, en particular aquellas involucradas en infraestructura y tecnología críticas, por lo que atacar tanto a HPE como a Microsoft tiene sentido para ellas, de manera consistente con el patrón establecido. Además, el hecho de que muchas organizaciones aún no hayan parcheado las vulnerabilidades del ataque de SolarWinds hace varios años significa que siguen siendo vulnerables a una mayor explotación por parte de Nobelium. Las aparentes adaptaciones tácticas del grupo, como el uso de técnicas más simples de distribución de contraseñas en su ataque a Microsoft, sugieren esfuerzos continuos para superar los esfuerzos de mitigación anteriores. Por otro lado, hay un elemento de sorpresa en la intrusión de HPE. HPE y Microsoft adoptan enfoques diferentes para proteger los entornos de correo electrónico basados en la nube, y la infracción de HPE parece estar más extendida, involucrar a más departamentos y durar más. Esto plantea dudas sobre posibles brechas de seguridad inherentes a los sistemas de HPE. Si bien las coincidencias de objetivos de Nobelium sugieren una imagen completa, los objetivos y motivaciones exactos de cada ataque pueden variar, y no está claro si son parte de una campaña coordinada o tienen como objetivo recopilar inteligencia o interrumpir operaciones. Se necesita información más detallada para determinar si esto es así. Es un intento aislado. Los detalles de cada ataque y cómo se relacionan aún no están claros, lo que complica aún más la comprensión general. “
Ariel Parnes, exjefe de la división cibernética de la agencia de inteligencia israelí y director de operaciones y cofundador de Mitiga, dijo que la reciente serie de violaciones resalta la necesidad de que las grandes empresas de tecnología brinden mejores capacidades de registro a sus clientes. “El reciente incidente de seguridad en Hewlett Packard Enterprise resalta la necesidad de que las organizaciones prioricen la recopilación y el análisis de registros de seguridad. Específicamente, una perspectiva de registro de auditoría unificada dentro del ecosistema M365. Desde nuestra perspectiva, estos registros ayudan a proporcionar información sobre la actividad y el potencial del usuario. acciones maliciosas. La importancia de detectar y responder rápidamente a tales incidentes se demuestra en el caso de HPE. En este caso, el registro de auditoría unificado podría haberse utilizado para descubrir el acceso no autorizado a archivos y acciones confidenciales de SharePoint dentro de los buzones de correo. capacidad de investigar incidentes retrospectivamente y ayudar a identificar el punto de entrada y la duración de la presencia de un actor de amenazas a medida que continúa la amenaza de compromiso del correo electrónico empresarial (BEC). El incidente y otros casos importantes de BEC de M365 son un claro recordatorio de que los actores de amenazas pueden infiltrarse en los sistemas y operar. sin ser detectados durante largos períodos de tiempo, con persistencia mejorada por el análisis de registros de auditoría unificados. Con la búsqueda avanzada de amenazas BEC, las organizaciones pueden buscar proactivamente signos de compromiso y descubrir y neutralizar amenazas potenciales antes de que se propaguen”.
Hen Amartely, director de marketing de productos de DoControl, cree que los incidentes de Microsoft y HPE harán que las organizaciones reevalúen cuidadosamente el estado de su seguridad en la nube. “Las herramientas de productividad basadas en la nube tienen muchos beneficios, pero la seguridad generalmente no es una de ellas. En este caso, un atacante aprovechó una vulnerabilidad en una plataforma de correo electrónico basada en la nube para comprometer los buzones de correo de personas clave y otros elementos comunes. Se accedió al contenido. Esto es similar a lo que se reveló sobre Microsoft a principios de este mes. El genio de la nube está fuera de la botella y regresa. La mejor opción para las organizaciones que utilizan este tipo de herramientas de productividad de software como servicio es monitorearlas. plataformas para detectar comportamientos inusuales o irregulares y alertarlos sobre estas acciones. Invierta en herramientas de seguridad que le permitan hacer y arreglar cosas”.
Fuente: https://www.cpomagazine.com/cyber-security/hpe-security-breach-company-reports-russian-hackers-in-its-email-environment/