Microsoft aún no sabe cómo los hackers apoyados por China obtuvieron una clave que les dio acceso para ingresar de forma encubierta a docenas de bandejas de entrada de correo electrónico, incluidas las que pertenecen a varias organizaciones del gobierno federal, y la compañía no desea compartir esta información con nadie. Microsoft anunció el evento el martes anterior y atribuyó el comportamiento que tuvo lugar durante el mes anterior a una organización de espionaje recién descubierta a la que llamó Storm-0558. La empresa cree que este grupo tiene una conexión significativa con China. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) dijo que las infracciones comenzaron a mediados de mayo e involucraron a un número limitado de cuentas gubernamentales, que se afirmaba que tenían un solo dígito. Además, la agencia declaró que los hackers robaron algunos datos de correo electrónico no clasificados. El miércoles, la vocera principal del Ministerio de Relaciones Exteriores de China refutó los cargos, a pesar de que el gobierno de Estados Unidos no se ha atribuido formalmente la responsabilidad por el evento.
En cambio, este grupo de hackers fue directamente a la fuente al apuntar a vulnerabilidades nuevas y no reportadas en la nube de Microsoft, en contraste con lo que China ha hecho, que fue irrumpir individualmente en los servidores de correo electrónico con tecnología de Microsoft para tomar datos comerciales. China empleó fallas que no se conocían previamente para hacer esto.
Microsoft dijo en una publicación de blog que los hackers pudieron obtener una de las claves de firma del consumidor de la empresa, también conocida como clave MSA. La empresa utiliza estas claves para proteger las cuentas de correo electrónico de los clientes, como las que se utilizan para acceder a Outlook.com. Microsoft ha dicho que primero creyó que los hackers estaban falsificando tokens de autenticación utilizando una clave de firma comercial obtenida. Estos tokens de autenticación se utilizan para proteger las cuentas de correo electrónico corporativas y empresariales. Sin embargo, Microsoft descubrió que los hackers estaban utilizando la clave MSA del consumidor para fabricar tokens que les permitieron acceder a las bandejas de entrada de las empresas. Estos tokens se falsificaron utilizando la clave MSA del consumidor.
Microsoft ha dicho que ha detenido “toda la actividad de los actores” relacionada con este evento, lo que puede indicar que el ataque ha concluido y que los piratas informáticos han perdido el acceso al sistema. Aunque se desconoce cómo Microsoft perdió el control de sus propias claves, la corporación ha dicho que ha reforzado sus procesos de emisión de claves, muy probablemente para evitar que los piratas informáticos produzcan otra clave maestra digital. Esto a pesar de que no está claro cómo Microsoft perdió el control de sus propias claves.
Los hackers hicieron mal una cosa muy importante. Microsoft dijo que los investigadores pudieron “ver todas las solicitudes de acceso de los actores que siguieron este patrón tanto en nuestros sistemas empresariales como de consumo”, ya que los hackers habían usado la misma clave para acceder a muchas bandejas de entrada a lo largo de su investigación.
A pesar de que la divulgación ampliada de Microsoft proporcionó un vistazo de más datos técnicos y señales de penetración que los respondedores de incidentes pueden revisar para ver si sus redes fueron atacadas, el gigante tecnológico aún tiene preguntas que responder.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
