Hewlett Packard Enterprise (HPE) está investigando una posible nueva brecha después de que un actor de amenazas pusiera supuestamente datos robados a la venta en un foro de hackers, afirmando que contiene credenciales de HPE y otra información sensible.
La compañía ha informado que no ha encontrado evidencia de una brecha de seguridad y no se ha solicitado ningún rescate, pero está investigando las afirmaciones del actor de amenazas.
“Somos conscientes de las afirmaciones y estamos investigando su veracidad”, dijo Adam R. Bauer, Director Sr. de Comunicaciones Globales de HPE.
“En este momento, no hemos encontrado evidencia de una intrusión, ni ningún impacto en los productos o servicios de HPE. No ha habido ningún intento de extorsión.”
Cuando se le pidió que proporcionara detalles adicionales sobre la investigación en curso de la compañía, Bauer dijo que no tenían “nada nuevo que compartir”.
IntelBroker, el actor de amenazas que vende los presuntos datos de HPE, compartió capturas de pantalla de algunas de las credenciales de HPE supuestamente robadas, pero aún no ha revelado la fuente de la información o el método utilizado para obtenerla.
“Hoy estoy vendiendo los datos que he tomado de Hewlett Packard Enterprise“, dice el actor de amenazas en un mensaje en el foro de hackers.
“Más específicamente, los datos incluyen: acceso a CI/CD, registros del sistema, archivos de configuración, tokens de acceso, archivos de HPE StoreOnce (números de serie, garantía, etc.) y contraseñas de acceso. (Los servicios de correo electrónico también están incluidos).”
IntelBroker es más conocido por la brecha de DC Health Link, que llevó a una audiencia del Congreso después de exponer los datos personales de miembros y personal de la Cámara de Representantes de EE. UU.
Otros incidentes de ciberseguridad relacionados con IntelBroker son la brecha del servicio de comestibles Weee! y una presunta brecha de General Electric Aviation.
Hackers rusos violan cuentas de correo electrónico corporativo de HPE
Esta investigación se produce después de que HPE revelara hace dos semanas que el entorno de correo electrónico de Microsoft Office 365 de la compañía fue violado en mayo de 2023 por hackers que la compañía cree que son parte del grupo de hackers APT29 de Rusia vinculado al Servicio de Inteligencia Exterior de Rusia (SVR).
La compañía dijo que los hackers rusos robaron archivos de SharePoint y datos de su equipo de ciberseguridad y otros departamentos, y mantuvieron acceso a su infraestructura en la nube hasta diciembre, cuando HPE fue nuevamente alertado de una violación de su entorno de correo electrónico basado en la nube.
“El 12 de diciembre de 2023, HPE fue notificado de que un actor estatal sospechoso había obtenido acceso no autorizado al entorno de correo electrónico de Office 365 de la compañía. HPE activó inmediatamente los protocolos de respuesta cibernética para comenzar una investigación, remediar el incidente y erradicar la actividad”, dijo HPE.
“A través de esa investigación, que sigue en curso, determinamos que este actor estatal accedió y exfiltró datos a partir de mayo de 2023 de un pequeño porcentaje de buzones de HPE pertenecientes a individuos en nuestra ciberseguridad, segmentos de mercado, funciones empresariales y otras funciones.”
Días antes de la divulgación del hackeo ruso de HPE, Microsoft reveló una violación similar donde APT29 violó algunas de sus cuentas de correo electrónico corporativo pertenecientes a su equipo de liderazgo y empleados en los departamentos de ciberseguridad y legal.
Microsoft luego compartió que los actores de amenazas obtuvieron acceso a las cuentas de correo electrónico corporativo después de piratear una cuenta de arrendatario de prueba mal configurada al forzar su contraseña en un ataque de “rociado de contraseñas”.
HPE también fue violado en 2018 cuando los hackers chinos APT10 también hackearon las redes de IBM y usaron el acceso para hackear los dispositivos de sus clientes.
Más recientemente, HPE reveló en 2021 que los repositorios de datos de su plataforma de monitoreo de red Aruba Central fueron comprometidos, lo que permitió a los atacantes acceder a datos sobre dispositivos monitoreados y sus ubicaciones.
Actualización 05 de febrero, 16:46 EST: Después de que se publicara el artículo, Bauer también dijo que los datos que se ofrecían en venta en línea fueron obtenidos de un “entorno de prueba”.
“Según nuestra investigación hasta ahora, los datos en cuestión parecen estar relacionados con información que estaba contenida en un entorno de prueba. No hay indicación de que estas afirmaciones se relacionen con alguna violación de los entornos de producción de HPE o información del cliente“, dijo Bauer en un comunicado enviado por correo electrónico.
“Estas son credenciales locales utilizadas en un entorno de prueba aislado y no son aplicables al entorno de producción. Además, estas credenciales por sí solas no permitirían el acceso a los entornos de producción, ya que tenemos medidas de seguridad multinivel en su lugar. Además, no tenemos ninguna indicación de que estas afirmaciones se relacionen con alguna violación de la información del cliente. Dicho esto, hemos tomado medidas adicionales para fortalecer aún más nuestro entorno en relación con las credenciales en cuestión.”
Preguntas y respuestas
1. ¿Qué tipo de datos se ofrecieron a la venta en el foro de hackers relacionados con HPE?
Los datos ofrecidos incluían credenciales de acceso a CI/CD, registros del sistema, archivos de configuración, tokens de acceso, archivos de HPE StoreOnce y contraseñas de acceso, entre otros, además de servicios de correo electrónico.
2. ¿Cuál fue el resultado de la investigación de HPE sobre la posible nueva brecha?
HPE no encontró evidencia de una intrusión ni impacto en sus productos o servicios, y no se realizó ningún intento de extorsión. La compañía afirmó que los datos en cuestión parecían estar relacionados con información contenida en un entorno de prueba y no afectaban a los entornos de producción o la información del cliente.
3. ¿Qué medidas adicionales tomó HPE después de la divulgación de la posible brecha?
HPE tomó medidas adicionales para fortalecer su entorno en relación con las credenciales en cuestión, a pesar de que estas eran credenciales locales utilizadas en un entorno de prueba aislado y no aplicables al entorno de producción.