En los últimos días, al menos 30.000 organizaciones en los Estados Unidos, incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales; han sido pirateadas por una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones.
El grupo de espionaje está explotando cuatro fallas recientemente descubiertas en el software de correo electrónico de Microsoft Exchange Server y ha sido capaz de hacerse con miles de víctimas a lo largo de todo el mundo con herramientas que brindan a los atacantes un control remoto total sobre los sistemas afectados.
El 2 de marzo, Microsoft lanzó actualizaciones de seguridad de emergencia para tapar cuatro muy importantes agujeros de seguridad en las versiones de Exchange Server de 2013 a 2019 que los piratas informáticos estaban utilizando activamente para desviar las comunicaciones por correo electrónico de los sistemas conectados a Internet.
En los tres días transcurridos desde entonces, los expertos en seguridad dicen que el mismo grupo de ciberespionaje chino ha intensificado drásticamente los ataques a cualquier servidor Exchange vulnerable y sin parches, a lo largo de todo el mundo.
En cada incidente, los intrusos han dejado un “shell web”, una herramienta de piratería fácil de usar y protegida por contraseña a la que se puede acceder a través de Internet desde cualquier navegador.
El shell web, brinda a los atacantes acceso administrativo a los servidores informáticos de la víctima.
Dos grandes expertos en ciberseguridad anónimos, que informaron a los asesores de seguridad nacional de EE. UU. sobre el ataque le dijeron a KrebsOnSecurity que el grupo de piratas informáticos chino considerado responsable ha tomado el control de “cientos de miles” de servidores Microsoft Exchange en todo el mundo.
Microsoft dijo que las fallas de Exchange están siendo atacadas por un equipo de piratería chino no identificado previamente al que apodó “Hafnium” y dijo que el grupo había estado realizando ataques dirigidos a sus sistemas de correo electrónico.
Los servidores de Microsoft Exchange son utilizados por una variedad de sectores de la industria, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones educativas, contratistas de defensa, grupos de expertos en políticas y ONG.
El aviso inicial de Microsoft sobre las fallas de Exchange acreditó a Volexity, con sede en Reston, Virginia, de informar de las vulnerabilidades.
El presidente de Volexity, Steven Adair, dijo que la compañía vio por primera vez a los atacantes explotando silenciosamente los errores de Exchange el 6 de enero de 2021, un día en el que la mayor parte del mundo estaba pegado a la cobertura televisiva de los disturbios en el Capitolio de EE. UU.
Pero Adair dijo que en los últimos días el grupo de piratería ha cambiado sus movimientos a toda velocidad, escanenaod todo Internet en busca de servidores de Exchange que aún no estuviesen protegidos por las actualizaciones de seguridad que Microsoft lanzó el martes.
“Incluso si realizó el parche el mismo día que Microsoft publicó sus parches, existe una alta probabilidad de que haya un shell web en su servidor. La verdad es que si está ejecutando Exchange y aún no lo ha parcheado, existe una gran posibilidad de que su organización ya esté comprometida” declaró Steven Adair.
Microsoft dice que está trabajando en estrecha colaboración con la Agencia de Infraestructuras de Seguridad y Ciberseguridad de EE. UU. (CISA), otras agencias gubernamentales y empresas de seguridad para garantizar la mejor orientación y mitigación posibles para sus clientes.
“La mejor protección es aplicar las actualizaciones lo antes posible en todos los sistemas afectados”, dijo un portavoz de Microsoft a través de un comunicado.escrito.
Mientras tanto, CISA ha emitido una directiva de emergencia que ordena a todos los departamentos y agencias civiles federales que ejecutan servidores Microsoft Exchange vulnerables de que actualicen el software o desconecten los productos de sus redes de Internet.
El problema es que parchear las fallas solo bloquea las cuatro formas diferentes que los piratas informáticos están usando para ingresar, pero no hace nada para deshacer el daño que ya se han producido.
La secretaria de prensa de la Casa Blanca, Jen Psaki, declaró que las vulnerabilidades encontradas en los servidores Exchange de Microsoft eran “significativas” y “podrían tener un impacto de gran alcance”.
Según todas las cuentas hackeadas, erradicar a todos los intrusos requerirá un esfuerzo de limpieza a nivel nacional y sin precedentes.
Adair y otros dicen que están preocupados de que cuanto más tarden las víctimas en deshabilitar las puertas traseras, es más probable que los intrusos sigan instalando puertas traseras adicionales y tal vez ampliando el ataque para incluir otras partes de la infraestructura de la red de las organizaciones que ya han sido afectadas.
Los investigadores de seguridad, han publicado varias herramientas para detectar si los servidores son o no vulnerables. Una de esas herramientas, es un script de Kevin Beaumont de Microsoft, que ayuda a las empresas a identificar a los servidores expuestos.
KrebsOnSecurity ha encontrado una lista de víctimas al ejecutar una herramienta de este tipo, y no es una panorama precisamente idílico.
La puerta trasera del shell web, está presente de manera verificable en las redes de miles de organizaciones estadounidenses, incluidos bancos, cooperativas de crédito, organizaciones sin fines de lucro, proveedores de telecomunicaciones, servicios públicos y unidades de policía, bomberos y otros servicios de emergencias.
“Son departamentos de policía, hospitales, toneladas de gobiernos municipales y estatales y servicios de créditos” dice una fuente que trabaja en estrecha colaboración con los funcionarios federales sobre el tema.
Casi todos los que ejecutan Outlook Web Access autohospedado y que no recibieron un parche hace unos días fueron atacados con un ataque de día cero.
Otro experto en ciberseguridad del gobierno, que participó en una llamada reciente con múltiples partes interesadas afectadas por esta ola de piratería, teme que el esfuerzo de limpieza requerido sea hercúleo.
“En la llamada, muchas preguntas vinieron desde orgranizaciones escolares o gobiernos locales que necesitaban ayuda”, dice una fuente anónima.
Si estos números son de decenas de miles, ¿Cómo se va a aplicar una respuesta seria a este incidente? Simplemente, no existen suficientes equipos de respuestas a incidentes para hacer tanto trabajo, durante tan breve período de tiempo”.
Microsoft, cuando lanzó parches para las cuatro fallas de Exchange Server el martes, enfatizó que la vulnerabilidad no afectó a los clientes que ejecutan su servicio Exchange Online (el correo electrónico alojado en la nube de Microsoft para empresas).
Pero desde otras fuentes, dicen que la gran mayoría de las organizaciones victimizadas hasta ahora están ejecutando algún tipo de sistema de correo electrónico Microsoft Outlook Web Access (OWA) con conexión a Internet en conjunto con sus servidores Exchange internos.
“Es una pregunta que vale la pena hacerse, ¿Cuál es la recomendación real de Microsoft?”, dice un experto de ciberseguridad del gobierno.
Solamente dirán “Parchee, pero es una mejor opción que te mudes a la nube”, pero ¿Cómo Microsoft está protegiendo sus productos que no se encuentran en la nube? Seguramente, dejándolos morir.
El experto en ciberseguridad del gobierno dijo que esta ronda de ataques, no es característico de los ataques de piratería que normalmente se atribuye a China, puesto que esos; suelen centrarse bastante en comprometer objetivos estratégicos específicos.
Microsoft, ha dicho, que las incursiones de Hafnium en servidores vulnerables de Exchange no están relacionadas de ninguna manera con los ataques relacionados a la información comprometida por SolarWinds.
Hemos de recordar. Que en el robo de datos a la multinacional SolarWinds, un presunto grupo de inteligencia ruso instaló puertas traseras en el software de administración de redes utilizado por más de 18.000 organizaciones de todo el mundo.
“Seguimos sin ver evidencias de que el actor detrás de SolarWinds descubrió o explotó alguna vulnerabilidad en los productos y servicios de Microsoft”, dijo la compañía.
Sin embargo, los eventos ocurridos a lo largo de los últimos días, pueden terminar eclipsando con creces el daño causado por los intrusos de SolarWinds.
Seguiremos atentos a lo que ocurre ante este terrible hackeo institucional, que promete seguir dando mucho de lo que hablar durante los próximos días / meses. ?
Fuente: Krebson Security
Relacionado
