Se ha revelado que un actor de amenazas persistentes avanzadas (APT) del estado chino rastreado como Storm-0558 pirateó cuentas de correo electrónico en varias agencias gubernamentales y pudo permanecer oculto durante más de un mes hasta que Microsoft lo descubrió y lo expulsó.
En un aviso de divulgación publicado el martes 11 de julio para coincidir con su ronda mensual de actualizaciones de seguridad, Microsoft reveló detalles de una investigación que emprendió en función de los informes de los clientes, a partir del 16 de junio.
Descubrió que, a partir del 15 de mayo, Storm-0558 accedió a datos de correo electrónico de 25 organizaciones diferentes y a un número menor de cuentas de correo electrónico personales relacionadas de personas asociadas con dichas organizaciones, utilizando tokens de autenticación falsificados a través de una clave de firma de consumidor de cuenta de Microsoft adquirida.
El vicepresidente ejecutivo de seguridad de Microsoft, Charlie Bell, dijo: “Evaluamos a este adversario [Storm-0558] se centra en el espionaje, como obtener acceso a los sistemas de correo electrónico para la recopilación de inteligencia. Este tipo de adversario motivado por el espionaje busca abusar de las credenciales y obtener acceso a los datos que residen en sistemas confidenciales.
“La investigación en tiempo real y la colaboración de Microsoft con los clientes nos permiten aplicar protecciones en Microsoft Cloud para proteger a nuestros clientes de los intentos de intrusión de Storm-0558”, dijo. “Hemos mitigado el ataque y nos hemos puesto en contacto con los clientes afectados. También nos hemos asociado con agencias gubernamentales relevantes como DHS CISA. Estamos agradecidos de que ellos y otros estén trabajando con nosotros para ayudar a proteger a los clientes afectados y abordar el problema. Estamos agradecidos con nuestra comunidad por una respuesta rápida, fuerte y coordinada.
“La responsabilidad comienza aquí mismo en Microsoft”, dijo Bell. “Seguimos firmes en nuestro compromiso de mantener seguros a nuestros clientes. Nos autoevaluamos continuamente, aprendemos de los incidentes y fortalecemos nuestras plataformas de identidad/acceso para gestionar los riesgos en evolución en torno a claves y tokens”.
Problema de validación de token
El arquitecto de soluciones HackerOne EMEA, Shobhit Gautam, explicó que la causa raíz de la intrusión probablemente fue un problema de validación de tokens.
“[This] fue explotado por los actores para hacerse pasar por Azure Active Directory [AD] usuarios y obtener acceso al correo empresarial”, dijo. “Dado que la clave MSA y las claves de Azure AD se generan y administran por separado, el problema radicaría en la lógica de validación.
“Para una explotación exitosa, un atacante necesitaría recopilar información específica del objetivo, las claves de consumidor de MSA, por lo que sería bastante complicado de explotar. Sin embargo, una vez dentro, el atacante podría tener un impacto significativo debido a la ubicuidad del software”, dijo Gautam. “La explotación de vulnerabilidades en la red de proveedores se ha convertido en una táctica clave en el libro de jugadas del atacante.
“La mejor manera de identificar el riesgo de una vulnerabilidad compleja es adoptar una mentalidad externa que analice cómo un atacante podría hacer uso de una variedad de debilidades para encadenarlas y tener un impacto mucho más poderoso. El gobierno ha sido rápido en la actualización del aprovechamiento de la inteligencia humana para asegurar sus defensas”.
El analista jefe de Mandiant, John Hultquist, dijo: “El espionaje cibernético chino ha recorrido un largo camino desde las tácticas de aplastar y agarrar con las que muchos de nosotros estamos familiarizados. Han transformado su capacidad de una que estaba dominada por campañas amplias y ruidosas que eran mucho más fáciles de detectar. Antes eran descarados, pero ahora están claramente enfocados en el sigilo.
“En lugar de manipular a las víctimas desprevenidas para que abran archivos o enlaces maliciosos, estos actores están innovando y diseñando nuevos métodos que ya nos están desafiando. Están liderando a sus pares en la implementación de los días cero y se han hecho un hueco al enfocarse específicamente en los dispositivos de seguridad.
“Incluso han transformado su infraestructura: la forma en que se conectan a los sistemas específicos”, dijo. “Hubo un tiempo en que vendrían a través de un simple proxy o incluso directamente desde China, pero ahora se conectan a través de redes de proxy efímeras y elaboradas de sistemas comprometidos. No es raro que una intrusión de espionaje cibernético chino atraviese un enrutador doméstico aleatorio. El resultado es un adversario mucho más difícil de rastrear y detectar.
“La realidad es que nos enfrentamos a un adversario más sofisticado que nunca, y tendremos que trabajar mucho más para seguirles el ritmo”.
Esta es la segunda vez en poco menos de dos meses que Microsoft hace públicas las acusaciones de campañas coordinadas de ciberespionaje por parte del estado chino.
Hacia fines de mayo, en colaboración con el Centro Nacional de Seguridad Cibernética del Reino Unido y sus contrapartes en Australia, Canadá, Nueva Zelanda y los EE. UU., destacó las actividades nefastas de un actor de APT denominado Volt Typhoon, que apuntaba a operadores de infraestructura nacional crítica, incluyendo sitios en Guam, un territorio insular del Pacífico de los EE. UU. que tendría un inmenso valor militar en cualquier respuesta occidental a una hipotética invasión china de Taiwán.
El gobierno chino acusó a Microsoft y sus socios gubernamentales de ser “extremadamente poco profesionales” en respuesta.