Microsoft arranca 2024 con un ataque de hackers rusos. La multinacional acaba de reconocer que hace una semana, el 12 de enero, detectó un ataque lanzado por Midnight Blizzard, una unidad de piratería que —afirman los de Redmond— cuenta con el respaldo de Rusia y estuvo detrás de los ciberataques que sufrió en 2020 la también estadounidense SolarWinds. Tras burlar la seguridad de Microsoft los hackers han accedido a algunos emails corporativos de la multinacional, incluidas las cuentas de integrantes de su dirección y personal de ciberseguridad.
Para Microsoft es una prueba del "riesgo constante" y la "amenaza" que representan organizaciones como Midnight Blizzard.
Finales de noviembre de 2023. Fue entonces —explica Microsoft— cuando Midnight Blizzard lanzó su ataque para burlar la seguridad de la multinacional y acceder a "un porcentaje muy pequeño" de cuentas de correo electrónico corporativas, aunque entre ellas habría algunas de empleados que forma parte del equipo directivo y los departamentos de ciberseguridad y legal. Los de Redmond detectaron el ataque la semana pasada, el 12 de enero, pero no han comunicado oficialmente lo ocurrido hasta ayer, cuando colgaron un post en su blog oficial detallando el incidente.
Pero… ¿Cómo burló la seguridad? En su artículo Microsoft deja algunas pinceladas para entender cómo los hackers lograron vulnerar su barrera de seguridad y acceder a emails corporativos. La clave es el conocido como "password spraying attack", un sistema de ataque con el que los piratas prueban la misma contraseña en un número relevante de cuentas antes de intentarlo con otra y repetir sucesivamente el proceso. Con esa treta buscan passwords predecibles. Los esfuerzos de Midnight Blizzard se remontan a noviembre y le permitieron "comprometer" una cuenta de prueba heredada. Luego usaron sus permisos para acceder a otras cuentas y hacerse con algunos emails y documentos adjuntos.
Microsoft insiste en que durante el ataque los piratas lograron llegar a "un porcentaje muy pequeño" de correos, aunque reconoce que entre los afectados hay algunos de miembros de su equipo de liderazgo senior y personal del área legal y de seguridad.
Viejos conocidos. Detrás del ataque está Midnight Blizzard. O al menos así lo señala con rotundidad Microsoft. El nombre quizás resulte nuevo; los autores que están detrás, no tanto. La multinacional asegura que se trata de un grupo "ruso patrocinado por el Estado" que también suele presentarse con una marca mucho más popular: Nobelium, la misma que en 2020 perpetró ciberataques contra SolarWinds y en la primavera de 2021 puso su foco en agencias gubernamentales, centros de análisis, consultoras y organizaciones de EEUU. "Nobelium ha estado intentando replicar el enfoque que ha utilizado en ataques anteriores apuntando a organizaciones integrales de la cadena de suministro global de TI", advertía ya en octubre de aquel año la propia Microsoft.
La multinacional insiste en que ataques como el que acaba de detectar "ponen de relieve el riesgo constante" que representan grupos con recursos como Midgnith Blizzard y actores que cuentan con el respaldo, recursos y financiación de estados. "Actuaremos de inmediato para aplicar nuestros estándares de seguridad actuales a los sistemas heredados y procesos comerciales internos de Microsoft —anuncia—, incluso cuando esos cambios puedan causar interrupciones en los procesos comerciales existentes".
Buscando información. La investigación abierta por Microsoft muestra que los hackers estaban interesados en información relacionada con la propia Midnight Blizzard. La empresa ya ha empezado a contactar con los empleados que han visto afectados sus correos, y subraya: "El ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft. Hasta la fecha no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, sistemas de producción, código fuente o los sistemas de inteligencia artificial".
El anuncio de los de Redmond llega apenas un mes después de la entrada en vigor de una nueva normativa de la SEC que obliga a las empresas que cotizan en bolsa a hacer públicas los infracciones que podrían afectar a sus negocios. Associated Press señala que en su comunicación a la Comisión de ayer, Microsoft sostiene que el incidente, "a la fecha de esta presentación", no ha tenido un "impacto material" que afecte a sus operaciones.
Ver 5 comentarios