Microsoft anunció que bloqueó recientemente a un grupo de piratas informáticos, al que denominó Storm-0558, que accedió a cuentas de correo electrónico pertenecientes a unas 25 organizaciones, incluidas agencias gubernamentales.
Cómo los piratas informáticos obtuvieron acceso a las cuentas de correo electrónico
En una publicación de blog, Microsoft dijo que comenzó a investigar actividad anormal en algunas cuentas de correo electrónico el 16 de junio después de recibir una notificación de los clientes.
Su investigación reveló que a partir del 15 de mayo, el grupo de piratería explotó una vulnerabilidad para falsificar tokens de autenticación y obtener acceso a las cuentas de Microsoft 365 de las organizaciones.
Usando una clave de firma de cuenta de consumidor de Microsoft comprometida, los piratas informáticos podrían hacerse pasar por usuarios y acceder a cuentas de correo electrónico a través de servicios como Outlook Web Access y Outlook.com.
Según un aviso conjunto reciente de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el FBI, la agencia federal observó actividad sospechosa en sus registros de Microsoft 365.
Esto condujo al descubrimiento de que los actores de amenazas persistentes avanzadas habían accedido y extraído datos de algunas cuentas de Outlook de Exchange Online.
¿Qué es Storm-0558?
Según el perfil de actor de Storm-0558 de Microsoft, la descripción del grupo es la siguiente:
Storm-0558 (DEV-0558) es un grupo de actividad de estado-nación con sede en China. Se centran en el espionaje, el robo de datos y el acceso a credenciales. También se sabe que usan malware personalizado que Microsoft rastrea como Cigril y Bling, para acceder a las credenciales.
Cómo se resolvió el problema
CISA y el FBI aconsejaron a las organizaciones que utilizan Exchange Online que implementen un control y un registro mejorados para detectar ataques similares.
Sus recomendaciones incluyen habilitar funciones avanzadas de registro de auditoría y obtener visibilidad de los patrones estándar de tráfico en la nube.
Microsoft afirma que resolvió completamente el problema y bloqueó el acceso de los piratas informáticos. Está trabajando con los clientes afectados y les ha notificado antes de su divulgación pública.
La compañía dijo que no había encontrado evidencia de que los piratas informáticos permanecieran en ningún sistema corporativo.
Mitigación de futuros ciberataques
Esta última actividad se produce a medida que los ciberataques continúan aumentando contra organizaciones en todo el mundo.
El Senador de los Estados Unidos Mark R. Warner, Presidente del Comité Selecto de Inteligencia del Senado, expresó su preocupación por los informes del último ataque cibernético y lo que se necesitaría para prevenir futuros incidentes.
“El Comité de Inteligencia del Senado está monitoreando de cerca lo que parece ser una violación significativa de la seguridad cibernética por parte de la inteligencia china. Está claro que la República Popular China está mejorando constantemente sus capacidades de recopilación cibernética dirigidas contra los EE. UU. y nuestros aliados. La estrecha coordinación entre el gobierno de EE. UU. y el sector privado será fundamental para contrarrestar esta amenaza”.
Microsoft planea seguir mejorando la seguridad en torno a las claves de cuenta y los tokens para adelantarse a los riesgos cibernéticos en evolución.
Enfatizó la necesidad de colaboración y transparencia continuas para fortalecer las defensas en toda la industria tecnológica contra campañas de piratería sofisticadas.
Imagen destacada: Koshiro K/Shutterstock
