Microsoft dio a conocer detalles de un ciberataque de grandes magnitudes, ya que ciberdelincuentes robaron la firma de las claves del correo electrónico de la compañía, que otorgaba acceso a las bandejas de entrada del gobierno de Estados Unidos.
A través de un comunicado, la empresa explicó que el grupo de ciberdelincuentes, conocido como Storm-0558, estaría siendo respaldado por China, para espiar funcionarios estadounidenses.
Desde julio de este año, Microsoft reveló el incidente, pero hasta ahora contó detalles de cómo sucedió, aunque por ahora no tiene claro cómo los atacantes lograron obtener el acceso hasta este punto, ya que lograron espiar a la secretaria de Comercio de Estados Unidos, Gina Raimondo, y al embajador en China, Nicholas Burns.
Qué sucedió con Microsoft
Antes de saber qué sucedió, es importante entender que una clave de firma es una herramienta para la autenticación y la seguridad en las comunicaciones por correo electrónico, esta permite a los usuarios verificar la fuente y la integridad de los mensajes recibidos. De esta manera se protegen las cuentas de contenidos potencialmente peligrosos o desconocidos.
Con esto claro, los detalles de Microsoft inician contando que en abril de 2021, un sistema utilizado en el proceso de clave de firma para el correo electrónico de consumidores se bloqueó. Este bloqueo generó una imagen instantánea del sistema que sería analizada más tarde.
Lo que no sabía la empresa en ese momento era que, cuando el sistema se bloqueó, la imagen instantánea incluyó involuntariamente una copia de la llave de firma de correo electrónico del consumidor. Dando información fundamental para mantener la seguridad.
Luego, la imagen se movió por la red corporativa que está conectada a internet y los métodos de escaneo nunca detectaron la presencial de la clave de firma en este contenido.
Ya con la información privada en un servidor de acceso a internet, los ciberdelincuentes lograron tomar la cuenta corporativa de un ingeniero de la compañía y llegar hasta la imagen, para luego empezar el espionaje a los funcionaros.
Microsoft aclaró que no puede estar completamente seguro de que este haya sido el método exacto por el cual se robaron la clave, ya que “no tenemos registros con evidencia específica de esta exfiltración”, pero considera que es el “mecanismo más probable por el cual el actor adquirió la llave”.
Otro factor clave es saber cómo lograron los ciberdelincuentes comprometer la cuenta del ingeniero. Aunque la empresa menciona que puedo haber sido un “malware de robo de token”, no hay más detalles al respecto.
Este tipo de malware busca tokens de sesión en la computadora de la víctima, lo que le permite a un atacante acceder a los sistemas como si fuera el usuario sin necesidad de conocer la contraseña o el código de autenticación de dos factores.
Este enfoque es similar al método utilizado por un grupo de piratas informáticos adolescentes conocido como Lapsus$ para atacar a Uber el año pasado y el incidente contra la compañía CircleCi en enero, donde el software antivirus no detectó el malware de robo de token en la computadora de un ingeniero.
Además, LastPass también sufrió una brecha de seguridad similar, en la que los delincuentes accedieron a los almacenes de contraseñas de los clientes a través de la computadora de un desarrollador de la empresa que fue comprometida.
La forma en que la cuenta del ingeniero de Microsoft fue comprometida es una pieza importante en esta situación, que podría ayudar a los defensores de redes a prevenir incidentes similares en el futuro. Sin embargo, Microsoft continúa investigando y no dio más detalles específicos sobre si la computadora del ingeniero era de uso personal o laboral.