211service.com
Cómo el ataque de China a Microsoft se convirtió en una ola de piratería imprudente
Demetrius Freeman-Pool/Getty Images
Al principio, los piratas informáticos chinos realizaron una cuidadosa campaña. Durante dos meses, explotaron las debilidades de los servidores de correo electrónico de Microsoft Exchange, eligieron sus objetivos cuidadosamente y robaron sigilosamente buzones de correo completos. Cuando los investigadores finalmente se dieron cuenta, parecía el típico espionaje en línea, pero luego las cosas se aceleraron dramáticamente.
Alrededor del 26 de febrero, la estrecha operación se convirtió en algo mucho más grande y mucho más caótico. Apenas unos días después, Microsoft reveló públicamente los ataques (los piratas informáticos ahora se conocen como Hafnium) y emitió una solución de seguridad. Pero para entonces, los atacantes buscaban objetivos en todo Internet: además de decenas de miles de reportado víctimas en los Estados Unidos, los gobiernos de todo el mundo están anunciando que ellos también estaban comprometidos. Ahora, al menos 10 grupos de piratería, la mayoría de ellos equipos de ciberespionaje respaldados por gobiernos, están explotando las vulnerabilidades en miles de servidores en más de 115 países. según a la empresa de seguridad ESET.
Historia relacionada
Cómo los fideicomisos de datos pueden proteger la privacidad No podemos esperar que las personas naveguen por sí mismas en el confuso mundo de la recopilación de datos. Es hora de unir fuerzas.
Mientras el presidente Joe Biden contempla tomar represalias en contra de Hackers rusos cuyo ataque a otra empresa de software, SolarWinds , se hizo público en diciembre, el hack de Hafnium se ha convertido en un enorme contra todos, y sus consecuencias podrían ser aún peores. Mientras los expertos se apresuran a cerrar los agujeros abiertos por la piratería china, los funcionarios dicen que el gobierno estadounidense se concentra de cerca en lo que sucede junto a miles de servidores recientemente vulnerables y cómo responder a China.
Las puertas están abiertas para cualquier malhechor que quiera hacerle algo a su servidor Exchange y al resto de su red, dice Sean Koessel, vicepresidente de Volexity, la firma de seguridad cibernética que ayudó a descubrir la actividad de piratería. El mejor de los casos es el espionaje: alguien que solo quiere robar sus datos. En el peor de los casos, el ransomware ingresa y se implementa en toda la red.
La distinción entre los dos ataques no se trata solo de detalles técnicos, o incluso de qué país los cometió. Aunque 18.000 empresas descargaron el software SolarWinds comprometido, la cantidad de objetivos genuinos fue solo una fracción de ese tamaño. Mientras tanto, el hafnio era mucho más indiscriminado.
Ambos comenzaron como campañas de espionaje, pero la diferencia realmente es cómo se llevaron a cabo, dice Dmitri Alperovitch, presidente de Silverado Policy Accelerator. La campaña Russian SolarWinds se realizó con mucho cuidado, donde los rusos persiguieron los objetivos que les importaban y cerraron el acceso en cualquier otro lugar, para que ni ellos ni nadie más pudiera acceder a los objetivos que no eran de interés.
Contraste eso con la campaña china, dice.
El 27 de febrero, se dan cuenta de que saldrá el parche y, literalmente, escanean el mundo para comprometer a todos. Dejaron shells web que ahora pueden permitir que otros ingresen a esas redes, potencialmente incluso a los actores de ransomware. Es por eso que es altamente imprudente, peligroso y debe ser respondido.
Explotación masiva
El comienzo de la campaña Hafnium estuvo muy por debajo del radar, dice Koessel.
La mayoría de los controles de seguridad pasaron por alto el hackeo: solo se detectó cuando Volexity notó solicitudes de tráfico de Internet extrañas y específicas para los clientes de la empresa que ejecutaban sus propios servidores de correo electrónico de Microsoft Exchange.
Una investigación de un mes mostró que se estaban utilizando cuatro exploits raros de día cero para robar buzones de correo completos, potencialmente devastadores para las personas y empresas involucradas, pero en este punto hubo pocas víctimas y el daño fue relativamente limitado. Volexity trabajó con Microsoft durante semanas para corregir las vulnerabilidades, pero Koessel dice que vio un cambio importante a fines de febrero. No solo comenzó a aumentar el número de víctimas, sino que también aumentó el número de grupos de hackers.
No está claro cómo varios grupos gubernamentales de hackers se dieron cuenta de las vulnerabilidades de día cero antes de que Microsoft hiciera algún anuncio público. Entonces, ¿por qué explotó el alcance de la explotación? Quizás, algunos sugieren, los piratas informáticos se dieron cuenta de que su tiempo casi había terminado. Si sabían que vendría un parche, ¿cómo se enteraron?
Creo que es muy poco común ver tantos grupos de [hackeo avanzado] diferentes que tienen acceso al exploit de una vulnerabilidad mientras los detalles no son públicos, dice Matthieu Faou, quien dirige la investigación sobre los hackeos de Exchange para ESET. Hay dos posibilidades principales, dice. O los detalles de las vulnerabilidades se filtraron de alguna manera a los actores de amenazas, o bien otro equipo de investigación de vulnerabilidades que trabajaba para los actores de amenazas descubrió de forma independiente el mismo conjunto de vulnerabilidades.
Volexity observó a Hafnium acechar dentro de las redes durante un mes y tomó medidas para eliminarlos antes de que Microsoft emitiera un parche. Ese podría haber sido el detonante que hizo que Hafnium escalara. O, sugiere Alperovitch, los piratas informáticos podrían haber descubierto otra forma de que llegara un parche: los equipos de seguridad de toda la industria, incluidos los de Microsoft, intercambian regularmente información sobre vulnerabilidades y soluciones por adelantado. Una vez que Microsoft hizo el anuncio público, incluso más grupos de hackers se unieron a la refriega.
El día después del lanzamiento de los parches, comenzamos a observar muchos más actores de amenazas escaneando y comprometiendo los servidores de Exchange en masa, dice Faou. Todos excepto uno de los grupos de hackers activos son conocidos equipos de hackers respaldados por el gobierno y centrados en el espionaje. Sin embargo, es inevitable que más y más actores de amenazas, incluidos los operadores de ransomware, tarde o temprano tengan acceso a los exploits, dice.
A medida que aumentaba la actividad, Volexity vio otro cambio en el comportamiento: los piratas informáticos dejaron shells web cuando irrumpieron en estos sistemas. Estas son herramientas de piratería simples que permiten el acceso persistente y remoto de puerta trasera a las máquinas infectadas para que el pirata informático pueda controlarlas. Pueden ser efectivos, pero también son relativamente ruidosos y fáciles de detectar.
Una vez que los piratas informáticos colocan un caparazón en una máquina, pueden seguir regresando hasta que se haya limpiado; incluso reparar las vulnerabilidades que originalmente fallaron no limpiará los caparazones. Pero el shell web en sí apenas está protegido y puede ser cooptado por otros piratas informáticos, primero para ingresar a los servidores de Exchange y robar correos electrónicos, y luego para atacar redes enteras.
Es una puerta con una cerradura que se abre fácilmente, dice Alperovitch, cofundador de la empresa de seguridad CrowdStrike, que dejó la empresa el año pasado.
Un reto diferente
La piratería continúa aumentando. Microsoft tomó la rara medida el lunes de lanzar parches de seguridad para versiones no compatibles de Exchange que normalmente serían demasiado antiguas para asegurarlas, una señal de cuán grave cree la compañía que es el ataque. Microsoft se ha negado a comentar.
Mientras la Casa Blanca sopesa una respuesta, el riesgo crece. La administración de Biden está lidiando lentamente con el espionaje sofisticado de SolarWinds, pero el caos de los hackeos de Hafnium presenta un desafío completamente diferente, tanto para solucionar el problema como para responder a los piratas informáticos que están detrás de él.
Es necesario que se envíe un mensaje a los chinos de que esto es inaceptable, argumenta Alperovitch. Estados Unidos debe dejar en claro que los responsabilizaremos por cualquier daño que resulte de los delincuentes que aprovechan este acceso, dice, y debemos presionarlos para que eliminen esos caparazones web de todas las víctimas lo antes posible.