Por: Tom Burt., vicepresidente corporativo de seguridad y confianza del cliente.
Hoy, estamos compartiendo información sobre un agente de amenaza identificado por Microsoft Threat Intelligence Center (MSTIC), la cual hemos denominado Hafnium. Hafnium opera desde China, y esta es la primera vez que estamos hablando sobre su actividad. Es un agente altamente calificado y sofisticado.
Históricamente, Hafnium tiene como objetivo entidades en Estados Unidos con la finalidad de extraer información de diferentes sectores de la industria, incluyendo investigadores de enfermedades infecciosas, firmas de abogados, instituciones de enseñanza superior, empresas vinculadas al Departamento de Defensa, instituciones de debate político y ONGs. Aunque Hafnium sea proveniente de China, la mayor parte de sus operaciones se realiza en servidores privados virtuales arrendados (VPS) en Estados Unidos.
Recientemente, Hafnium se involucró en una serie de ataques usando exploits desconocidos que tuvieron como blanco el Exchange Server on-premise. Hasta este momento, Hafnium es el principal agente que hemos visto usando esos exploits, los cuales se discuten en detalle por MSTIC aquí. Los ataques incluyeron tres pasos. Primero, obtendría acceso a un Exchange Server con contraseñas robadas o usando las vulnerabilidades no descubiertas anteriormente para disfrazarse como alguien que debería tener acceso. En segundo lugar, crearía un web shell para controlar el servidor comprometido remotamente. En tercer lugar, usaría ese acceso remoto – ejecutado desde los servidores privados basados en EUA– para robar datos de la red de una organización.
Estamos enfocados en proteger a los clientes de los exploits usados para aplicar esos ataques. Hoy lanzamos actualizaciones de seguridad que protegerán a los clientes que ejecutan Exchange Server. Recomendamos que todos los clientes de Exchange Server apliquen esas actualizaciones inmediatamente. Exchange Server se utiliza principalmente por clientes empresariales y no tenemos evidencias que las actividades de Hafnium tengan como objetivo consumidores individuales o que esos exploits hayan afectado otros productos Microsoft.
Aunque hayamos trabajado con urgencia para implantar una actualización para los exploits de Hafnium, sabemos que muchos agentes y grupos criminales actuarán rápidamente para atacar sistemas no actualizados. Aplicar rápidamente los parches lanzados hoy es la mejor protección contra este ataque.
Además de ofrecer nuevas protecciones a nuestros clientes, informamos a las agencias gubernamentales de EE.UU. sobre esta actividad.
Esta es la octava vez en el transcurso de los últimos 12 meses que Microsoft divulgó públicamente actividades de grupos dirigidos a instituciones críticas para la sociedad civil; otras actividades que divulgamos se dirigieron a organizaciones de salud que luchan contra Covid-19, campañas políticas y otros involucrados en las elecciones de 2020 y participantes de alto nivel en importantes comités de formulación de políticas.
El hecho que muchas organizaciones compartan voluntariamente su información con el mundo, entre sí y con instituciones gubernamentales comprometidas con la defensa nos sirve de motivación. Agradecemos a los investigadores de Volexity y de Dubex que nos notificaron sobre aspectos de esta nueva actividad de Hafnium y trabajaron con nosotros para manejarla de manera responsable. Necesitamos que se comparta más información rápidamente sobre ataques cibernéticos para permitir que todos nos defendamos mejor contra ellos. Por eso el presidente de Microsoft, Brad Smith, le dijo recientemente al Congreso de EE.UU. que debemos tomar medidas para exigir el relato de incidentes cibernéticos.
Los exploits que estamos discutiendo hoy no estaban de ninguna manera vinculados a los ataques relacionados a SolarWinds. Todavía no hemos encontrado evidencias que el agente por detrás de SolarWinds haya descubierto o haya explotado cualquier vulnerabilidad en productos y servicios Microsoft.
Publicado en el blog Microsoft On the Issues.