El sospechoso de hackeo de Microsoft en China muestra signos de reconocimiento previo

El hackeo en sistemas informáticos que usan Microsoft Exchange Server fue descubierto en marzo. FOTO: JOHN SMITH/VIEWPRESS/CORBIS/GETTY IMAGES

Los investigadores sospechan que los datos personales tomados en hacks masivos anteriores o eliminados de sitios de redes sociales ayudaron a violar Microsoft Exchange Server

 

Microsoft Corp. y funcionarios del gobierno de EE. UU. todavía están trabajando para entender cómo una red de presuntos grupos chinos de hacking llevó a cabo un ciberataque inusualmente indiscriminado y de largo alcance contra el software de correo electrónico de Microsoft, más de un mes después del descubrimiento de una operación que hizo que cientos de miles de pequeñas empresas, escuelas y otras organizaciones fueran vulnerables a la intrusión.

Una teoría líder ha surgido en las últimas semanas, según personas familiarizadas con el asunto: los presuntos hackers chinos extrajeron tesoros de información personal adquirida de antemano para llevar a cabo el ataque.

Tal método, si se confirma, podría darse cuenta de temores de larga data sobre las consecuencias para la seguridad nacional de los robos masivos de datos anteriores de Beijing. Y sugeriría que los hackers tenían un mayor grado de planificación y sofisticación de lo que se entendía anteriormente.

«Nos enfrentamos a adversarios sofisticados que, sabemos, han recopilado grandes cantidades de contraseñas e información personal en sus exitosos hacks», dijo Anne Neuberger, asesora adjunta de seguridad nacional del presidente Biden para tecnología cibernética y emergente. «Su capacidad potencial para poner en práctica esa información a escala es una preocupación significativa».

Poco después de que se descubriera el hackeo de los sistemas informáticos que utilizan Microsoft Exchange Server en marzo, altos funcionarios de seguridad nacional de la administración Biden lo reconocieron como un importante problema de ciberseguridad internacional.

La capacidad de los hackers para utilizar los datos recopilados previamente es una preocupación significativa, dijo Anne Neuberger, asesora adjunta de seguridad nacional del presidente Biden para tecnología cibernética y emergente.                                                     FOTO: DREW ANGERER/GETTY IMAGES

La Casa Blanca reunió un grupo de trabajo interinstitucional que incluía socios del sector privado, como el gigante tecnológico Redmond, Washington y las empresas de ciberseguridad, para compartir rápidamente información y desarrollar parches de seguridad para los clientes afectados de Exchange Server.

Entre las fuentes potenciales de los datos personales está el vasto archivo de China de probables miles de millones de registros personales que sus hackers robaron durante la última década. Los hackers pueden haber extraído eso para descubrir qué cuentas de correo electrónico necesitaban usar para irrumpir en sus objetivos, según personas familiarizadas con el asunto.

Otra teoría bajo investigación: Los hackers escanearon sitios de redes sociales como LinkedIn para determinar qué cuentas de correo electrónico correspondían a los administradores de sistemas y, por lo tanto, era probable que las que usaran en el ataque. Un tercero: Los hackers pueden haber tenido simplemente suerte, irrumpiendo en los sistemas usando una dirección de correo electrónico predeterminada del administrador.

El ataque a los sistemas Exchange Server comenzó lenta y sigilosamente a principios de enero, lanzado por un grupo de hacking llamado Hafnium que ha atacado a investigadores de enfermedades infecciosas, bufetes de abogados y universidades en el pasado, dijeron funcionarios y analistas de ciberseguridad. El ritmo operativo se recuperó drásticamente, a medida que otros grupos de hacking vinculados a China se involucraron, infectando miles de servidores, mientras que Microsoft se apresuró a enviar a sus clientes un parche de software a principios de marzo.

Microsoft y otras compañías de seguridad han vinculado públicamente el ataque de Exchange Server a grupos que se cree que tienen su sede en China. La administración Biden no ha atribuido públicamente el hackeo a ningún grupo, y China ha negado su participación.

Pero los funcionarios de Microsoft y dentro de la administración Biden siguen desconcertados por cómo los presuntos actores chinos fueron capaces de llevar a cabo una operación global de este tipo tan rápidamente, dijo Tom Burt, vicepresidente de seguridad y confianza del cliente de Microsoft, en una entrevista.

Los atacantes explotaron un conjunto de errores previamente desconocidos para infiltrarse en los sistemas de Exchange Server y apuntar a una gama de usuarios de los sistemas. Pero para hacer eso, los hackers tenían que conocer las cuentas de correo electrónico de los administradores del sistema de las respectivas redes, el Sr. Burt dijo.

Pronto surgió la teoría de que los hackers confiaban en información personal que los llevó a los nombres de cuentas de correo electrónico de los administradores del sistema, ya sea extraídos en hacks anteriores o raspados de sitios de redes sociales disponibles públicamente como LinkedIn.

«Eso podría ser de grandes hacks de grandes conjuntos de datos. También podría ser que tengan grandes equipos de personas que se centren en hacer la investigación social para tratar de construir estos conjuntos de datos», dijo el Sr. Burt dijo. ¿Quién sabe?

En 2015, la administración Obama descubrió que los hackers vinculados a China violaron los EE. UU. Oficina de Administración de Personal, la oficina de recursos humanos del gobierno federal de los Estados Unidos. Los hackers robaron millones de registros de investigación de antecedentes del gobierno que datan de hace 20 años, obteniendo información detallada sobre los empleados actuales y anteriores del gobierno de los Estados Unidos y sus familias.

Beijing también ha estado implicado en decenas de hacks de enormes bases de datos de información personal de corporaciones en los EE. UU. y en el extranjero, como Marriott International Inc. y la compañía de informes de crédito Equifax Inc.

Además, muchos sistemas de Exchange Server utilizan la cuenta de administrador predeterminada, «administrator@» seguida del nombre de dominio de la red, creando otra ruta para que los hackers la exploten.

A medida que el código utilizado en los ataques de Exchange Server se hacía público, expertos en seguridad y funcionarios estadounidenses advirtieron urgentemente que los delincuentes aprovecharían ese código en una segunda ola masiva de ciberataques.

Pero la temida ola de ataques no fue tan grave como se esperaba, según los investigadores. Es probable que esos hackers no hubieran tenido acceso a la información personal, lo que da crédito a la teoría de los funcionarios de ciberseguridad de que los hackers chinos pueden haber utilizado información adicional.

El número de víctimas potenciales fue enorme. El 9 de marzo, la compañía de ciberseguridad Palo Alto Networks Inc. dijo que había identificado 125.000 sistemas de intercambio potencialmente vulnerables que no habían sido parcheados. Para el 1 de abril, más del 90% de los clientes de Microsoft habían parcheado sus sistemas para abordar las vulnerabilidades utilizadas en el ataque, el Sr. Burt dijo.

Microsoft ha empujado a sus clientes a instalar parches de seguridad durante el último mes, lanzando una ventisca de más de 25 parches que cubrían la amplia gama de versiones de Exchange. A instancias del grupo de trabajo de la administración Biden, la compañía también simplificó el proceso de actualización para los clientes, lanzando una opción de «parche con un solo clic». En reuniones, el grupo ha discutido las posibilidades de cómo se llevó a cabo el ataque sin llegar a un consenso sobre ninguna teoría, dijo el Sr. Burt y otros dijeron.

En total, se estima que los hackers vinculados a China se han infiltrado hasta 20.000 servidores, según una estimación de Symantec, la división de seguridad de Broadcom Inc.Pero debido a que Microsoft solo tiene un acceso limitado a los datos sobre los servidores de Exchange que se ejecutan dentro de sus centros de datos de clientes, es posible que nunca se conozca todo el alcance del ataque, Sr. Burt dijo.

Escribe a Dustin Volz a dustin.volz@wsj.com y a Robert McMillan a Robert.Mcmillan@wsj.com

Apareció en la edición impresa del 8 de abril de 2021 como ‘Microsoft Hack Probe Eyes Prior Data Thefts’.

Fuente. https://www.wsj.com/articles/suspected-china-hack-of-microsoft-shows-signs-of-prior-reconnaissance-11617800400?mod=tech_lead_pos3

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.