Una serie de desafortunados y los errores en cascada permitieron a un grupo de hackers respaldado por China robar una de las claves del reino del correo electrónico de Microsoft que otorgaba acceso casi ilimitado a las bandejas de entrada del gobierno estadounidense. Microsoft explicó en una publicación de blog muy esperada esta semana cómo los piratas informáticos lograron el atraco. Pero aunque se resolvió un misterio, se desconocen varios detalles importantes.
En resumen, Microsoft reveló en julio que los piratas informáticos a los que llama Storm-0558, que cree que están respaldados por China, «adquirieron» una clave de firma de correo electrónico que Microsoft utiliza para proteger cuentas de correo electrónico de consumidores como Outlook.com. Los piratas informáticos utilizaron esa clave digital para ingresar a las cuentas de correo electrónico personales y empresariales de funcionarios gubernamentales alojados en Microsoft. El hackeo se considera una campaña de espionaje dirigida a espiar los correos electrónicos no clasificados de funcionarios y diplomáticos del gobierno de EE. UU., entre los que, según se informa, se encuentran la secretaria de Comercio de EE. UU., Gina Raimondo, y el embajador de EE. UU. en China, Nicholas Burns.
Cómo los piratas informáticos obtuvieron esa clave de firma de correo electrónico del consumidor era un misterio, incluso para Microsoft, hasta esta semana, cuando el gigante tecnológico expuso tardíamente los cinco problemas separados que llevaron a la eventual filtración de la clave.
Microsoft dijo en su publicación de blog que en abril de 2021, un sistema utilizado como parte del proceso de firma de claves del consumidor falló. El accidente produjo una imagen instantánea del sistema para su posterior análisis. Este sistema de firma de claves del consumidor se mantiene en un entorno «altamente aislado y restringido» donde el acceso a Internet está bloqueado para defenderse contra una variedad de ataques cibernéticos. Sin que Microsoft lo supiera, cuando el sistema falló, la imagen instantánea incluía inadvertidamente una copia de la clave de firma del consumidor 1️⃣, pero los sistemas de Microsoft no pudieron detectar la clave en la instantánea 2️⃣.
La imagen instantánea fue “posteriormente movida desde la red de producción aislada a nuestro entorno de depuración en la red corporativa conectada a Internet” para comprender por qué falló el sistema. Microsoft dijo que esto era consistente con su proceso de depuración estándar, pero que los métodos de escaneo de credenciales de la compañía tampoco detectaron la presencia de la clave en la imagen instantánea 3️⃣.
Luego, en algún momento después de que la imagen instantánea se moviera a la red corporativa de Microsoft en abril de 2021, Microsoft dijo que los piratas informáticos Storm-0558 pudieron «comprometer con éxito» la cuenta corporativa de un ingeniero de Microsoft, que tenía acceso al entorno de depuración donde se encontraba la instantánea. Se almacenó la imagen que contiene la clave de firma del consumidor. Microsoft dijo que no puede estar completamente seguro de cómo se robó la clave porque «no tenemos registros con evidencia específica de esta exfiltración», pero dijo que este era el «mecanismo más probable por el cual el actor adquirió la clave».
En cuanto a cómo la clave de firma del consumidor otorgaba acceso a cuentas de correo electrónico empresariales y corporativas de varias organizaciones y departamentos gubernamentales, Microsoft dijo que sus sistemas de correo electrónico no realizaban de forma automática o adecuada la validación de claves 4️⃣, lo que significaba que el sistema de correo electrónico de Microsoft «aceptaría una solicitud de firma del consumidor». correo electrónico utilizando un token de seguridad firmado con la clave del consumidor”, dijo 5️⃣ la compañía.
¿Misterio resuelto? No exactamente
La admisión de Microsoft de que la clave de firma del consumidor probablemente fue robada de sus propios sistemas pone fin a la teoría de que la clave pudo haber sido obtenida en otro lugar.
Pero las circunstancias de cómo exactamente los intrusos hackearon Microsoft sigue siendo una cuestión abierta. Cuando se le contactó para hacer comentarios, Jeff Jones, director senior de Microsoft, le dijo a TechCrunch que la cuenta del ingeniero se vio comprometida mediante «malware de robo de tokens», pero se negó a hacer más comentarios.
El malware de robo de tokens, que puede distribuirse mediante phishing o enlaces maliciosos, busca tokens de sesión en la computadora de la víctima. Los tokens de sesión son archivos pequeños que permiten a los usuarios permanecer conectados de forma persistente sin tener que volver a ingresar una contraseña constantemente o volver a autorizar con autenticación de dos factores. Como tal, los tokens de sesión robados pueden otorgar a un atacante el mismo acceso que el usuario sin necesidad de la contraseña del usuario o el código de dos factores.
Es un método de ataque similar a cómo Uber fue violado el año pasado por un grupo de hackers adolescentes llamado Lapsus$, que se basó en malware para robar contraseñas de empleados de Uber o tokens de sesión. La empresa de software CircleCi también se vio comprometida de manera similar en enero después de que el software antivirus que estaba utilizando no pudo detectar malware de robo de tokens en la computadora portátil de un ingeniero. LastPass también sufrió una importante violación de datos de las bóvedas de contraseñas de los clientes después de que los piratas informáticos irrumpieron en el almacenamiento en la nube de la empresa a través de la computadora de un desarrollador de LastPass comprometida.
La forma en que se vio comprometida la cuenta del ingeniero de Microsoft es un detalle importante que podría ayudar a los defensores de la red a prevenir un incidente similar en el futuro. No está claro si la computadora proporcionada por el ingeniero estaba comprometida o si era un dispositivo personal que Microsoft permitía en su red. En cualquier caso, centrarse en un ingeniero individual parece injusto dado que los verdaderos culpables del compromiso son las políticas de seguridad de la red que no lograron bloquear al intruso (aunque altamente capacitado).
Lo que está claro es que la ciberseguridad es increíblemente difícil, incluso para los megagigantes corporativos con efectivo y recursos casi ilimitados. Los ingenieros de Microsoft imaginaron y consideraron una amplia gama de las amenazas y ataques cibernéticos más complejos al diseñar protecciones y defensas para los sistemas más sensibles y críticos de la empresa, incluso si esas defensas finalmente fallaron. Ya sea que Storm-0558 supiera que encontraría las claves del reino del correo electrónico de Microsoft cuando hackeó la red de la compañía o que fue pura casualidad y pura sincronización, es un claro recordatorio de que los ciberdelincuentes a menudo sólo necesitan tener éxito una vez.
No parece haber ninguna analogía adecuada para describir esta violación o circunstancias únicas. Es posible quedar impresionado por la seguridad de la bóveda de un banco y aun así reconocer los esfuerzos de los ladrones que robaron sigilosamente el botín del interior.
Pasará algún tiempo antes de que quede clara la escala total de la campaña de espionaje, y las víctimas restantes a cuyos correos electrónicos se accedió aún no se han revelado públicamente. La Junta de Revisión de Seguridad Cibernética, un organismo de expertos en seguridad encargado de comprender las lecciones aprendidas de los principales incidentes de seguridad cibernética, dijo que investigará la violación del correo electrónico de Microsoft y llevará a cabo una revisión más amplia de las cuestiones «relacionadas con la identidad basada en la nube y la infraestructura de autenticación».