5 de marzo de 2021

Los hackers rusos accedieron a la nube de Microsoft

Hacker

Los hackers rusos comprometieron a los clientes de la nube de Microsoft a través de terceros, poniendo en riesgo los correos electrónicos y otros datos.

Los hackers del gobierno ruso han comprometido a los clientes de Microsoft en la nube y han robado correos electrónicos de al menos una empresa del sector privado, según personas familiarizadas con el asunto, un hecho preocupante en la actual campaña de ciberespionaje de Moscú dirigida a numerosas agencias estadounidenses y redes informáticas corporativas.

Las intrusiones parecen haber ocurrido a través de un socio corporativo de Microsoft que maneja los servicios de acceso a la nube, dijeron los que están familiarizados con el asunto. No identificaron al socio o a la compañía que se sabe que ha sido objeto de robo de correos electrónicos. Como otros, estas personas hablaron con la condición de anonimato para discutir lo que sigue siendo un tema altamente sensible.

Microsoft no ha comentado públicamente las intrusiones. El jueves, un ejecutivo del gigante de la tecnología trató de restar importancia al asunto.

“Nuestra investigación de los recientes ataques ha encontrado incidentes que involucran el abuso de credenciales para obtener acceso, que pueden venir en varias formas”, dijo Jeff Jones, director senior de comunicaciones de Microsoft. “Aún no hemos identificado ninguna vulnerabilidad o compromiso de los productos o servicios de la nube de Microsoft”.

La preocupante revelación llega varios días después de que el presidente de Microsoft, Brad Smith, dijera que la compañía Fortune 500 no había visto ningún cliente violado a través de sus servicios, incluyendo la tan cacareada plataforma de nube Azure utilizada por gobiernos, grandes corporaciones y universidades en todo el mundo.

“Creo que podemos dar una respuesta general que afirma, no, no tenemos conocimiento de ningún cliente que haya sido atacado a través de los servicios de nube de Microsoft o cualquiera de nuestros otros servicios, para el caso, por este hacker”, dijo Smith a The Washington Post el 17 de diciembre.

Sin embargo, dos días antes, Microsoft notificó a la firma de seguridad cibernética CrowdStrike de un problema con un revendedor tercero que maneja las licencias para sus clientes de Azure, según una entrada de blog CrowdStrike publicada el miércoles. En su entrada, CrowdStrike alertó a los clientes de que Microsoft había detectado un comportamiento inusual en la cuenta de CrowdStrike en Azure y que “hubo un intento de leer el correo electrónico, que falló”. CrowdStrike no utiliza el servicio de correo electrónico de Microsoft. No vinculó la táctica a Rusia.

Las personas familiarizadas con el robo de correo electrónico no revelado previamente dijeron que no explota ninguna vulnerabilidad de Microsoft. La compañía en sí no fue hackeada, sólo uno de sus socios, dijeron.

Sin embargo, el preocupante desarrollo plantea preocupaciones sobre el alcance de las obligaciones de divulgación de Microsoft, dijeron los expertos en seguridad cibernética.

“Si es cierto que los datos de un cliente proveedor de servicios en la nube han sido exfiltrados y están en manos de algún actor de la amenaza, es una situación muy grave”, dijo John Reed Stark, que dirige una empresa de consultoría y es ex jefe de la Oficina de Aplicación de Internet de la Comisión de Valores y Bolsa. “Debería suscitar todo tipo de alertas dentro de ese proveedor de nubes que podrían desencadenar una letanía de requisitos de notificación, reparación y divulgación, tanto nacionales como internacionales”.

En una entrada de blog la semana pasada, Microsoft declaró que estaba notificando a “más de 40 clientes” que habían sido violados. Algunos de ellos fueron comprometidos a través de la tercera parte, dijeron personas familiarizadas con el asunto.

Específicamente, el adversario hackeó al revendedor, robando credenciales que pueden ser usadas para obtener un amplio acceso a las cuentas Azure de sus clientes. Una vez dentro de la cuenta de un cliente en particular, el adversario tenía la capacidad de leer – y robar – correos electrónicos, entre otra información.

Microsoft comenzó a alertar a los clientes del sector privado sobre el tema la semana pasada. Jones dijo que la compañía también informó al gobierno de EE.UU. la semana pasada “que algunos socios revendedores se vieron afectados”. Sin embargo, dos personas familiarizadas con el asunto dijeron que el gobierno no fue notificado.

La propia Microsoft no ha anunciado públicamente el hacking de los revendedores. Por el contrario, cuando la empresa de seguridad cibernética FireEye se enteró de que había sido violada a través de una actualización de software, reveló la información. Ese parche de software, de una compañía llamada SolarWinds, ha sido el camino a través del cual los rusos han comprometido al menos cinco grandes agencias federales en una importante campaña en curso que tiene a los funcionarios de EE.UU. trabajando durante las fiestas.

Jones de Microsoft caracterizó el tema del revendedor como “una variación de lo que hemos estado viendo y no un nuevo vector importante”. Él dijo: “El abuso de credenciales ha sido un tema común que ha sido reportado como parte de las herramientas, técnicas y prácticas de este actor”.

Jones se negó a responder preguntas sobre cuándo la firma descubrió el compromiso del revendedor, cuántos clientes tiene el revendedor, cuántos fueron violados y si el revendedor estaba alertando a sus clientes.

“Tenemos varios acuerdos con personas, y no compartiremos información específica sobre nuestro compromiso con socios o clientes específicos”, dijo.

El hecho de que los piratas informáticos hayan violado a un socio de Microsoft puede no eximir a la empresa de responsabilidad legal, dijeron los expertos. Cuando los hackers robaron más de 100 millones de aplicaciones de tarjetas de crédito el año pasado de la nube de un gran banco, que fue proporcionada por Amazon Web Services, los clientes demandaron al banco y a AWS. En septiembre, un juez federal rechazó la moción de Amazon para desestimarla, diciendo que su “conducta negligente” probablemente “hizo posible el ataque”.
La investigación se ha convertido ahora en la máxima prioridad para el general Paul Nakasone, que dirige tanto la Agencia de Seguridad Nacional como el Comando Cibernético de los Estados Unidos. Desarrollar una imagen coherente y unificada del alcance de las infracciones ha sido difícil porque ni la NSA ni el Departamento de Seguridad Nacional ni el FBI tienen la autoridad legal o jurisdiccional para saber dónde están todos los compromisos.

El reto de Nakasone, como dijo un funcionario estadounidense, es “se espera que sepa cómo están conectados todos los puntos, pero no sabe cuántos puntos hay ni dónde están todos”.

Parte de esa incapacidad es causada por las reglas federales de contratación para proteger la privacidad de la agencia, dijo Smith de Microsoft. En su entrevista de la semana pasada, dijo que la compañía fue la primera en alertar a varias agencias federales sobre las infracciones que se habían producido a través de la actualización de SolarWinds. Pero, dijo, la empresa tenía prohibido por contrato federal compartir esa información fuera de la agencia afectada.

“En muchos casos, debido a las restricciones de confidencialidad que nos imponen los contratos federales, tendríamos que ir al gobierno y decir: ‘Hemos encontrado otra agencia federal’. No podemos decirles quiénes son. . . . Pero les pedimos que te llamen”, dijo.

Fuentes del gobierno de los Estados Unidos y del sector privado dicen ahora que es probable que el número total de víctimas -de agencias y empresas que han visto cómo se robaban datos- se sitúe como mucho en los escasos cientos, y no en los miles como se temía anteriormente. Pero incluso el pirateo de una agencia importante es significativo.

Hace varios años, los hackers del gobierno chino comprometieron a la Oficina de Gestión de Personal, exponiendo los registros de más de 22 millones de trabajadores federales y sus familias.

Tanto entonces como ahora, las violaciones fueron vistas como actos de espionaje. No había pruebas de interrupción o destrucción de la red, o de esfuerzos para usar los bienes robados en, por ejemplo, una operación para interferir en una elección o realizar una campaña de desinformación.