Al principio, los piratas informáticos chinos llevaron a cabo una campaña cuidadosa. Durante dos meses, aprovecharon las debilidades de los servidores de correo electrónico de Microsoft Exchange, eligieron sus objetivos con cuidado y robaron de forma sigilosa buzones de correo completos. Cuando los investigadores finalmente se dieron cuenta, parecía el típico espionaje en línea, pero luego las cosas se aceleraron dramáticamente.
Alrededor del 26 de febrero, la operación estrecha se convirtió en algo mucho más grande y mucho más caótico. Pocos días después, Microsoft reveló públicamente los hacks (los hackers ahora se conocen como Hafnium) y emitió una solución de seguridad. Pero para entonces, los atacantes buscaban objetivos en todo Internet: además de decenas de miles de informó víctimas en los EE. UU., los gobiernos de todo el mundo están anunciando que ellos también estaban comprometidos. Ahora, al menos 10 grupos de piratas informáticos, la mayoría de ellos equipos de ciberespionaje respaldados por el gobierno, están explotando las vulnerabilidades en miles de servidores en más de 115 países. según a la empresa de seguridad ESET.
Mientras el presidente Joe Biden contempla tomar represalias contra los piratas informáticos rusos cuyo ataque a otra empresa de software, SolarWinds, se hizo público en diciembre, el hackeo de Hafnium se ha convertido en una enorme batalla contra todos y sus consecuencias podrían ser incluso peores. Mientras los expertos se apresuran a cerrar los agujeros abiertos por la piratería china, los funcionarios dicen que el gobierno estadounidense se centra de cerca en lo que sucede junto a miles de servidores recientemente vulnerables y en cómo responder a China.
“Las puertas están abiertas para cualquier actor malo que quiera hacer cualquier cosa con su servidor Exchange y el resto de su red”, dice Sean Koessel, vicepresidente de Volexity, la firma de ciberseguridad que ayudó a descubrir la actividad de piratería. “El mejor caso es el espionaje, alguien que solo quiere robar sus datos. El peor de los casos es que el ransomware ingrese y lo implemente en toda la red “.
La distinción entre los dos ataques no se trata solo de detalles técnicos, o incluso de qué país los cometió. Aunque 18.000 empresas descargaron el software SolarWinds comprometido, la cantidad de objetivos genuinos fue solo una fracción de ese tamaño. Mientras tanto, el hafnio era mucho más indiscriminado.
“Ambas comenzaron como campañas de espionaje, pero la diferencia realmente es cómo se llevaron a cabo”, dice Dmitri Alperovitch, presidente de Silverado Policy Accelerator y cofundador de la firma de seguridad CrowdStrike. “La campaña rusa SolarWinds se realizó con mucho cuidado, donde los rusos fueron tras los objetivos que les importaban y cerraron el acceso a todos los demás, para que ni ellos ni nadie más pudieran entrar en esos objetivos que no eran de interés”.
“Compare eso con la campaña china”, dice.
“El 27 de febrero, se dan cuenta de que el parche va a salir y, literalmente, escanean el mundo para comprometer a todos. Dejaron shells web que ahora pueden permitir que otros ingresen a esas redes, potencialmente incluso actores de ransomware. Por eso es muy imprudente, peligroso y debe responderse “.
Explotación masiva
El comienzo de la campaña de Hafnium estuvo “muy por debajo del radar”, dice Koessel.
La mayoría de los controles de seguridad no detectaron la piratería: solo se detectó cuando Volexity notó solicitudes de tráfico de Internet extrañas y específicas para los clientes de la compañía que estaban ejecutando sus propios servidores de correo electrónico de Microsoft Exchange.
Una investigación de un mes mostró que se estaban utilizando cuatro raros exploits de día cero para robar buzones de correo completos, lo que podría ser devastador para las personas y las empresas involucradas, pero en este punto había pocas víctimas y el daño era relativamente limitado. Volexity trabajó con Microsoft durante semanas para corregir las vulnerabilidades, pero Koessel dice que vio un cambio importante a fines de febrero. No solo comenzó a aumentar el número de víctimas, sino que también aumentó el número de grupos de piratería.
No está claro cómo varios grupos de hackers gubernamentales se dieron cuenta de las vulnerabilida des de día cero antes de que Microsoft hiciera un anuncio público. Entonces, ¿por qué explotó el alcance de la explotación? Quizás, sugieren algunos, los piratas informáticos pueden haberse dado cuenta de que su tiempo casi se acaba. Si sabían que vendría un parche, ¿cómo se enteraron?
“Creo que es muy poco común ver tantos [advanced hacking] grupos que tienen acceso al exploit por una vulnerabilidad mientras que los detalles no son públicos ”, dice Matthieu Faou, quien dirige la investigación sobre los hacks de Exchange para ESET. “Hay dos posibilidades principales”, dice. O “los detalles de las vulnerabilidades se filtraron de alguna manera a los actores de la amenaza”, o bien otro equipo de investigación de vulnerabilidades que trabaja para los actores de la amenaza “descubrió de forma independiente el mismo conjunto de vulnerabilidades”.
Volexity observó cómo Hafnium acechaba dentro de las redes durante un mes y tomó medidas para expulsarlas antes de que Microsoft emitiera un parche. Ese podría haber sido el detonante que provocó la escalada de Hafnium. O, sugiere Alperovitch, los piratas informáticos podrían haber descubierto otra forma en que se avecinaba un parche: los equipos de seguridad de toda la industria, incluidos los de Microsoft, intercambian regularmente información sobre vulnerabilidades y correcciones por adelantado. Una vez que Microsoft hizo el anuncio público, aún más grupos de piratería se unieron a la refriega.
“El día después del lanzamiento de los parches, comenzamos a observar a muchos más actores de amenazas escaneando y comprometiendo los servidores de Exchange en masa”, dice Faou. Todos excepto uno de los grupos de piratería activos son conocidos equipos de piratería respaldados por el gobierno que se centran en el espionaje. “Sin embargo, es inevitable que más y más actores de amenazas, incluidos los operadores de ransomware, tengan acceso a los exploits tarde o temprano”, dice.
A medida que la actividad aumentaba, Volexity vio otro cambio en el comportamiento: los piratas informáticos dejaron shells web cuando irrumpieron en estos sistemas. Se trata de herramientas de piratería sencillas que permiten un acceso persistente y remoto por la puerta trasera a las máquinas infectadas para que el pirata informático pueda controlarlas. Pueden ser efectivos, pero también son relativamente ruidosos y fáciles de detectar.
Una vez que los piratas informáticos colocan un caparazón en una máquina, pueden seguir regresando hasta que se haya limpiado; incluso corregir las vulnerabilidades que originalmente tenían la falla no limpiará los caparazones. Pero el shell web en sí mismo apenas está protegido y otros piratas informáticos pueden apropiarse de él, primero para irrumpir en los servidores de Exchange y robar correos electrónicos, y luego para atacar redes enteras.
“Es una puerta con cerradura que se abre fácilmente”, dice Alperovitch.
Un reto diferente
La piratería continúa aumentando. Microsoft dio el lunes el paso poco común de lanzar parches de seguridad para versiones no compatibles de Exchange que normalmente serían demasiado antiguas para proteger, una señal de cuán grave la compañía cree que es el ataque. Microsoft se ha negado a comentar.
Mientras la Casa Blanca sopesa una respuesta, el riesgo crece. La administración de Biden está lidiando lentamente con el sofisticado espionaje de SolarWinds, pero el caos de los ataques de Hafnium presenta un desafío completamente diferente, tanto para solucionar el problema como para responder a los piratas informáticos detrás de él.
“Es necesario que se envíe un mensaje a los chinos de que esto es inaceptable”, argumenta Alperovitch. Estados Unidos debe dejar en claro “que los haremos responsables de cualquier daño que resulte de los actores criminales que aprovechan este acceso”, dice, “y debemos presionarlos para que eliminen esos proyectiles web de todas las víctimas lo antes posible. . “