Otro día, otro hackeo a la tecnología de Microsoft. Se podría pensar que esto ha sucedido antes y volverá a suceder, tan seguramente como el sol sale por la mañana y se pone por la noche.
Esta vez es diferente. porque esta vez Los objetivos no eran los clientes de Microsoft, sino los niveles más altos de la propia Microsoft.. Y el grupo de hackers, llamado Midnight Blizzard, o a veces Cozy Bear, the Dukes o APT 29, está patrocinado por el Servicio de Inteligencia Exterior de Rusia (y lo ha sido desde al menos 2008).
Y esta vez, el ataque podría persuadir al gobierno federal a adoptar finalmente una línea más dura contra las continuas vulnerabilidades de Microsoft y Windows.
Para entender por qué, comencemos mirando el truco en sí.
Hackeado mediante un truco simple y básico.
Midnight Blizzard es bien conocida por sus sofisticadas capacidades de ciberataque, incluido el Ataque a la cadena de suministro de Solar Winds en el que irrumpió en la empresa, que ofrece herramientas de gestión de sistemas utilizadas para el monitoreo de redes e infraestructuras, y malware integrado en el software de Solar Winds. Luego, ese malware se distribuyó a miles de clientes de la empresa, entre ellos ocho o más agencias federales, incluidos el Departamento de Defensa, el Departamento de Seguridad Nacional y el Departamento del Tesoro de EE. UU., y empresas de tecnología y seguridad, incluidas Intel, Cisco y Palo. Alto Redes.
microsoft dijo que el ataque fue “el ciberataque a un estado-nación más sofisticado de la historia.El hackeo también implicó infiltrarse en los servidores del Comité Nacional Demócrata, robar correos electrónicos y documentos y publicarlos.
Esta vez, sin embargo, Midnight Blizzard no tuvo que crear una herramienta de piratería sofisticada. Para atacar a Microsoft, utilizó uno de los trucos de piratería informático más básicos: la “pulverización de contraseñas”. En él, los piratas informáticos escriben contraseñas de uso común en innumerables cuentas aleatorias, con la esperanza de que alguna les dé acceso. Una vez que obtienen ese acceso, pueden moverse libremente por una red, piratear otras cuentas, robar correos electrónicos y documentos, y más.
En una publicación de blogMicrosoft dijo que Midnight Blizzard irrumpió en una antigua cuenta de prueba mediante pulverización de contraseñas y luego usó los permisos de la cuenta para ingresar a «cuentas de correo electrónico corporativas de Microsoft, incluidos miembros de nuestro equipo de liderazgo senior y empleados en nuestras funciones legales, de ciberseguridad y de otro tipo», y robar correos electrónicos y documentos adjuntos a ellos.
La compañía afirma que los piratas informáticos inicialmente apuntaron a información sobre la propia Midnight Blizzard y que «hasta la fecha, no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial».
Como para tranquilizar a los clientes, la empresa señaló: «El ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft».
Eso no debería tranquilizar a nadie. Midnight Blizzard tuvo éxito porque Microsoft violó dos reglas básicas de ciberseguridad: asegurarse de que todas las cuentas utilicen contraseñas potentes y cerrar todas las cuentas no utilizadas. Si la empresa no puede seguir reglas tan simples, uno podría preguntarse si se puede confiar en ella para proteger a sus clientes contra la piratería.
Y tenga en cuenta que Microsoft no prometió que Midnight Blizzard no habría utilizado su acceso para irrumpir en las redes de sus clientes, o incluso más aterrador, en sus sistemas de inteligencia artificial. Sólo dijo que “hasta la fecha” no ha encontrado evidencia de ello y que aún está investigando.
¿Por qué esto es más que un simple ojo morado?
El truco, especialmente porque se logró con tanta facilidad, es un ojo morado para Microsoft. Pero es aún peor. Se produce después de una serie de ataques de alto perfil a las tecnologías de Microsoft que enojaron tanto a los federales que han estado investigando los protocolos de seguridad de Microsoft.
El El Washington Post escribe: “Los funcionarios gubernamentales y los expertos en seguridad externos han señalado repetidamente que los requisitos de autenticación débiles, las cuentas de prueba y la facilidad para crear nuevas cuentas son los principales agujeros en la protección de los servicios de Microsoft…. La divulgación del viernes también se produce durante las investigaciones de la junta de revisión de seguridad cibernética del Departamento de Seguridad Nacional y otros sobre fallas en la seguridad de Microsoft que permitieron a los piratas informáticos del gobierno chino robar correos electrónicos no clasificados de altos diplomáticos estadounidenses antes de una cumbre entre las dos naciones el año pasado.
En un discurso pronunciado en la Universidad Carnegie Mellon el año pasado, La directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Jen Easterly, criticó a Microsoft porque sólo alrededor de una cuarta parte de sus clientes empresariales utilizan la autenticación multifactor. Es extremadamente raro que los funcionarios federales se dirijan públicamente a las empresas de esa manera.
Aproximadamente al mismo tiempo, La Administración Biden lanzó una nueva Estrategia Nacional de Ciberseguridad que pide a las empresas de tecnología y a la industria privada que sigan las mejores prácticas de seguridad, como parchear los sistemas para combatir las vulnerabilidades recién descubiertas y utilizar la autenticación multifactor siempre que sea posible.
Una hoja informativa adjunta advierte: “La mala seguridad del software aumenta en gran medida el riesgo sistémico en todo el ecosistema digital y hace que los ciudadanos estadounidenses asuman el costo final. Debemos comenzar a transferir la responsabilidad a aquellas entidades que no toman precauciones razonables para proteger su software”.
Este último hackeo a Microsoft parece ser un caso clásico de violación de esa estrategia. Pero la estrategia requiere acción legislativa para que tenga fuerza, y cuando se trata de regular la tecnología, el Congreso decididamente no interviene. Por el momento, violar la estrategia parece generar poco más que un gesto de «vergüenza para ti».
No es probable que esa inacción dure para siempre. Tanto los republicanos como los demócratas han convertido a las empresas tecnológicas en su último chivo expiatorio. y microsoft, que obtiene miles de millones de dólares en contratos federales, incluidos 150 millones de dólares para mejorar la seguridad en la nube, eventualmente podría ver cancelados algunos de sus contratos si ni siquiera cumple con las precauciones de ciberseguridad más simples. (El senador Ron Wyden (D-OR), ha Ya lo amenazaron con que podría hacer precisamente eso..)
Este último ataque a Microsoft podría ser lo que haga que el Congreso finalmente actúe.
Copyright © 2024 IDG Communications, Inc.