Varias agencias estadounidenses dijeron que es probable que varios grupos de hackeo del gobierno tuvieran acceso “a largo plazo” a la red de una empresa de defensa.
En un informe de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el FBI y la Agencia de Seguridad Nacional (NSA), las agencias dijeron que algunos de los hackers explotaron las vulnerabilidades de Microsoft Exchange en el servidor de la organización anónima para obtener acceso de forma remota y cargar las cuentas legítimas de la empresa para acceder a correos electrónicos, reuniones y contactos pertenecientes a otros empleados.
CISA dijo que inicialmente descubrió las vulnerabilidades mientras respondía a la actividad de los hackers en la red de la compañía de defensa desde noviembre de 2021 hasta enero de 2022.
Durante su investigación, CISA descubrió que probablemente múltiples grupos de amenazas persistentes avanzadas (APT) comprometieron la red de la organización, y algunos actores de APT tuvieron acceso a largo plazo al entorno.
“Los actores de APT utilizaron un conjunto de herramientas de código abierto llamado Impacket para afianzarse en el entorno y comprometer aún más la red, y también utilizaron una herramienta de exfiltración de datos personalizada, CovalentStealer, para robar los datos confidenciales de la víctima”, dijo CISA en su aviso.
Una directora de inteligencia de la firma de ciberseguridad dijo que Impacket es una de las principales amenazas observadas en los entornos de los clientes.
Explicó que los hackers lo prefieren porque les permite realizar diversas acciones, como recuperar credenciales, emitir comandos, moverse lateralmente y enviar malware adicional a los sistemas.
“En septiembre fue la cuarta amenaza más frecuente que observamos. La buena noticia es que Impacket se puede detectar con visibilidad de punto final y red”, dijo. “Sin embargo, si bien Impacket es bastante fácil de detectar, puede ser un desafío determinar si la actividad es maliciosa o benigna sin un contexto adicional y una comprensión de lo que es normal en un entorno”.
Nickels sugirió que las organizaciones tengan una comprensión clara de las instancias autorizadas en las que se puede usar Impacket en sus entornos y “consideren cualquier actividad fuera de eso como maliciosa hasta que se demuestre lo contrario”.
‘A partir de mediados de enero de 2021’
Según el informe de las agencias, la compañía de defensa contrató a una empresa de ciberseguridad para responder al incidente antes de que CISA se involucrara.
En su investigación, CISA descubrió que los hackers del gobierno obtuvieron acceso inicial a la organización a mediados de enero de 2021.
No está claro cómo el grupo inicialmente obtuvo acceso al Microsoft Exchange Server de la organización, pero una vez que lo hicieron, los hackers recopilaron información sobre el entorno y buscaron en los buzones de correo de los empleados dentro de las cuatro horas posteriores a la entrada.
Los hackers lograron comprometer las cuentas de nivel de administrador y, en febrero de 2021, comenzaron a filtrar datos confidenciales, “incluida información confidencial relacionada con contratos de unidades compartidas”.
A principios de marzo de 2021, los hackers supuestamente comenzaron a explotar las vulnerabilidades de MicrosoftCVE-2021-26855,CVE-2021-26857,CVE-2021-26868, y CVE-2021-27065.
Nickels señaló que ha habido múltiples vulnerabilidades de Exchange a lo largo de los años, y dados los desafíos de parchear los servidores de Exchange en las instalaciones, muchas de estas vulnerabilidades siguen sin parchear y “dan a los adversarios la oportunidad de comprometer una red”.
Desde julio hasta octubre de 2021, los hackers utilizaron su herramienta de exfiltración personalizada CovalentStealer para robar los archivos confidenciales restantes.
El grupo pudo mantener el acceso a la red hasta mediados de enero de 2022 mediante la explotación de credenciales legítimas que habían sido robadas.
En un caso, los hackers utilizaron la cuenta de un ex empleado para acceder a elementos del buzón como mensajes de correo electrónico, reuniones y contactos.
El incidente despertó las alarmas entre las agencias de aplicación de la ley de EE. UU., quienes instaron a las organizaciones de infraestructura crítica y base industrial de defensa a revisar e implementar las acciones de detección y mitigación enumeradas en el aviso.
Las agencias recomendaron que las empresas de infraestructura crítica apliquen la autenticación multifactor en todas las cuentas de usuario, implementen la segmentación de la red, actualicen el software y auditen el uso de la cuenta en busca de actividad maliciosa.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad