El ataque habría sido realizado por hackers rusos con palanca estatal, que vulneraron la cuenta de un representante del departamento de soporte al cliente de Microsoft.
El grupo de ciberespionaje que Microsoft denomina Nobelium -también conocido como APT 29 y Cozy Bear- obtuvo “información básica de la cuenta” de un número limitado de clientes como parte del esfuerzo. El mismo grupo es el principal sospechoso de la filtración de datos del contratista federal SolarWinds, un hackeo en el que los intrusos también vulneraron nueve agencias federales estadounidenses y decenas de empresas tecnológicas.
Microsoft informa en su blog que la actividad reciente fue en su mayor parte infructuosa, ya que la mayoría de los objetivos no fueron comprometidos con éxito. “Tenemos conocimiento de tres entidades comprometidas hasta la fecha. Nos hemos puesto en contacto con todos los clientes que se han visto comprometidos o que han sido objeto de ataques a través de nuestro proceso de notificación de incidentes de tipo Estado-nación”, escribe la empresa.
“Este tipo de actividad no es nueva, y seguimos recomendando a todos que tomen precauciones de seguridad, como la activación de la autenticación multifactorial, para proteger sus entornos de éste y otros ataques similares. Esta actividad se dirigió a clientes específicos, principalmente empresas de TI (57%), seguidas por el gobierno (20%), y porcentajes más pequeños para organizaciones no gubernamentales y grupos de reflexión, así como servicios financieros. La actividad se centró en gran medida en intereses estadounidenses, con alrededor del 45%, seguido del 10% en el Reino Unido, y números menos elevados de Alemania y Canadá. En total, 36 países se vieron afectados”, escribe Microsoft.
“Como parte de nuestra investigación sobre esta actividad en curso, también detectamos malware de robo de información en una máquina perteneciente a uno de nuestros agentes de atención al cliente con acceso a información básica de la cuenta de un pequeño número de nuestros clientes. El actor utilizó esta información en algunos casos para lanzar ataques muy específicos como parte de su campaña más amplia. Respondimos rápidamente, eliminamos el acceso y aseguramos el dispositivo. La investigación está en curso, pero podemos confirmar que nuestros agentes de soporte están configurados con el conjunto mínimo de permisos requeridos como parte de nuestro enfoque de “acceso menos privilegiado” de Confianza Cero a la información del cliente. Estamos notificando a todos los clientes afectados y les estamos ayudando a garantizar que sus cuentas siguen siendo seguras”, agrega Microsoft.
Finalmente, la empresa señala que esta actividad refuerza la importancia de las precauciones de seguridad de las mejores prácticas, como la arquitectura de confianza cero y la autenticación de múltiples factores, y su importancia para todos.
En un correo electrónico a los clientes, Microsoft advirtió que los atacantes podrían haber accedido a información sobre casos de soporte, metadatos de cuentas de suscripción e información de facturación. El personal de seguridad observó actividad en las organizaciones afectadas desde el 17 de mayo, según el correo electrónico. La empresa no detectó más actividad después del 31 de mayo.
Ilustración: Canva
