Cuatro grupos de hackers carroñeros se han unido a la sofisticada campaña de ataque de Hafnium, lo que podría aumentar el número de víctimas a cientos de miles

La campaña de ciberataques vinculada al Gobierno chino revelada la semana pasada por Microsoft se ha intensificado rápidamente. Al menos otros cuatro grupos distintos de hackers están atacando defectos críticos del software de correo electrónico de Microsoft de una forma que el Gobierno de EE. UU. describe como “abuso generalizado a nivel nacional e internacional” y cuyo impacto podría cobrarse cientos de miles de víctimas en todo el mundo.

A partir de enero de 2021, un grupo de hackers chinos conocidos como Hafnium empezaron a explotar las vulnerabilidades en los servidores de Microsoft Exchange. Pero desde que la semana pasada la compañía reveló públicamente esta campaña, no solo cuatro grupos más de hackers se han unido a ella, sino que los primeros han dejado de ser discretos y han aumentado su cantidad de ataques. La creciente lista de víctimas incluye a decenas de miles de empresas y oficinas gubernamentales de Estados Unidos que reciben ataques de los nuevos grupos.

“Hay al menos cinco formaciones diferentes en acción que parecen estar explotando las vulnerabilidades”, afirma la jefa del equipo de Inteligencia de la empresa de ciberseguridad Red Canary que está investigando los ataques, Katie Nickels. Los analistas de inteligencia rastrean las ciberamenazas, clasifican los grupos de actividad pirata en función de sus técnicas, tácticas, procedimientos, máquinas, personas y otras características. Es una forma de localizar las amenazas hackers a las que se enfrentan.

Hafnium es un sofisticado grupo chino de piratería informática que lleva mucho tiempo realizando campañas de ciberespionaje contra Estados Unidos, según Microsoft. Es un superdepredador alfa, el tipo que siempre es seguido de cerca por carroñeros oportunistas y listos.

Los ciberataques se acelerón rápidamente en cuanto Microsoft hizo su comunicado la semana pasada. Pero no se sabe exactamente quiénes son estos los nuevos grupos de hackers, qué quieren ni cómo acceden a sus servidores. Nickels explica que es posible que el grupo Hafnium vendiera o compartiera su código de explotación o que otros hackers aplicaran ingeniería inversa a las vulnerabilidades a partir de los parches que lanzó Microsoft.

Nickels detalla: “El problema es que todo es muy confuso y hay mucha superposición. Lo que hemos visto es que desde que Microsoft hizo público el ataque de Hafnium, el mismo se expandió más allá del Hafnium. Hemos notado actividades diferentes a las tácticas, técnicas y procedimientos que se habían comunicado”.

Al explotar las vulnerabilidades de los servidores de Microsoft Exchange, que las organizaciones utilizan para operar sus propios servicios de correo electrónico, los hackers pueden crear una herramienta capaz de acceder de forma remota, denominada shell web, y que permite fácilmente el acceso por una puerta trasera y hacerse con el control de la máquina infectada. Esta técnica les permite controlar el servidor afectado a través de internet y luego robar datos de toda la red de su víctima. Shell web significa que a pesar de que Microsoft ha emitido parches para los defectos (que, según la compañía, solo el 10 % de los clientes de Exchange habían aplicado hasta el pasado viernes pasado), el adversario aún tiene acceso a la puerta trasera a sus objetivos.

La aplicación de las correcciones de software de Microsoft es un primer paso crucial, pero el esfuerzo de limpieza total será bastante más complicado para muchas posibles víctimas, especialmente cuando los hackers se mueven libremente a otros sistemas de la red.

Desde Microsoft afirman: “Estamos trabajando en estrecha colaboración con CISA [la Agencia de Seguridad de Infraestructura y Ciberseguridad], otras agencias gubernamentales y empresas de seguridad, para asegurarnos de poder ofrecer el mejor posible asesoramiento y mitigación para nuestros clientes. La mejor protección consiste en instalar las actualizaciones lo antes posible en todos los sistemas afectados. Seguimos ayudando a los clientes brindándoles consejos adicionales sobre investigación y la mitigación. Los clientes afectados deben ponerse en contacto con nuestros equipos de soporte para obtener ayuda y recursos adicionales”.

Como varios grupos siguen atacando actualmente las vulnerabilidades, se espera que los ataques afecten de manera desproporcionada a las organizaciones menos capaces de permitirse una buena defensa contra ellos, como las pequeñas empresas, las escuelas y los gobiernos locales, resaltó el antiguo funcionario de ciberseguridad de EE. UU. Chris Krebs.

“¿Por qué ha ocurrido? ¿Para tensar los primeros días de la administración de Biden y poner a prueba su firmeza? ¿Será una pandilla de ciberdelito fuera de control? ¿Los contratistas que se volvieron locos?”, preguntó Krebs en Twitter.

Con posibles cientos de miles de víctimas en todo el mundo, esta campaña de hackeo a Exchange ha afectado a más objetivos que el ataque de SolarWinds que el Gobierno de EE. UU. sigue luchando por arreglar. Pero, al igual que en el caso del ataque de SolarWinds, los números no lo son todo: los hackers rusos responsables de SolarWinds fueron muy disciplinados y atacaron a los objetivos específicos de alto valor a pesar de que tenían un posible acceso a muchos miles más. Lo mismo ocurre en este caso. A pesar de que las cifras totales son alarmantes, no todo resulta catastrófico.

Nickels afirma: “No todos estos ataques se han generado igual. Hay servidores vulnerables de Exchange donde la puerta está abierta, pero no sabemos si algún adversario la ha atravesado. Hay servidores levemente afectados; tal vez con la herramienta shell web, pero nada más allá de eso. Luego está el otro lado del espectro, donde los adversarios tuvieron actividad de seguimiento y se trasladaron a otros sistemas”.

Es raro que la Casa Blanca comente cuestiones de ciberseguridad, pero la administración del presidente, Joe Biden, ha tenido motivos para hablar mucho sobre hackers en sus primeros dos meses de mandato, entre el ataque de SolarWinds y este último incidente.

Durante una rueda de prensa el pasado viernes por la tarde, la secretaria de Prensa de la Casa Blanca, Jen Psaki, afirmó: “Nos preocupa que haya una gran cantidad de víctimas y estamos trabajando con nuestros socios para comprender el alcance del ataque. Los propietarios de las redes también tienen que averiguar si ya han sido afectados y deben tomar las medidas adecuadas de inmediato”.

Fuente: technologyreview.es