En una publicación de blog del martes por la noche, Microsoft anunció que un grupo de hackers con sede en China había logrado acceder a un número indeterminado de cuentas de correo electrónico, pertenecientes a unas 25 organizaciones. La empresa agrega que muchas de las cuentas afectadas pertenecen a agencias gubernamentales y a individuos que posiblemente tengan vínculos con dichas agencias.
Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) destacó en un comunicado emitido hoy que una agencia civil federal había identificado “actividad sospechosa” en su espacio en la nube Microsoft 365 el mes pasado. Esta actividad sospechosa resultó en la exfiltración de información no clasificada por parte de intrusos “patrocinados por un Estado”. Sin embargo, todavía no se ha determinado el volumen de la información sustraída, toda vez que la investigación está en curso.
A pesar de la seriedad del asunto, la magnitud de esta reciente campaña de espionaje atribuida a China es menor en comparación con otras en los últimos años. Esto incluye una campaña que también tuvo como objetivo a Microsoft y otra que implicó a la compañía de software SolarWinds.
Paralelamente, la administración Biden está implementando nuevos estándares para las compañías de software. Estos estándares se enfocan en desarrollar productos que sean más seguros frente a los ciberataques desde su etapa de creación, es decir nativamente seguros.
Microsoft ha atribuido este ataque a un grupo que ha denominado Storm-0558, conocido principalmente por atacar a agencias gubernamentales en Europa Occidental. Se cree que el grupo tuvo acceso a las cuentas por al menos un mes antes de que se detectara la intrusión. Los agentes habrían utilizado una clave de firma robada para falsificar tokens de autenticación de identidad y lograr acceder a determinadas cuentas de correo electrónico de Outlook.
La compañía asegura que ya ha tomado medidas para mitigar el impacto del ataque para sus clientes. Charlie Bell, vicepresidente ejecutivo de Seguridad de Microsoft, declaró en el blog de la empresa que la responsabilidad comienza en Microsoft. La empresa está en constante autoevaluación y aprendizaje de los incidentes, fortaleciendo sus plataformas de identidad y acceso para manejar los riesgos emergentes relacionados con las claves y tokens, aseguró el ejecutivo.