Por: John Lambert, ingeniero distinguido en Microsoft Threat Intelligence Center.
Microsoft comparte información y emite orientación sobre el aumento de las actividades de un actor sofisticado de amenazas que se centra en objetivos de alto valor, como agencias de gobierno y empresas de ciberseguridad. Creemos que se trata de una actividad de estado nación a una escala significativa, dirigida tanto a gobierno como al sector privado. Si bien no compartimos ningún detalle específico de organizaciones individuales, es importante que compartamos más detalles sobre algunas de las actividades de amenazas que hemos descubierto en las últimas semanas, junto con orientación que los profesionales de la industria de seguridad pueden usar para encontrar y mitigar actividades maliciosas potenciales.
También queremos asegurar a nuestros clientes que no hemos identificado ninguna vulnerabilidad en los productos o servicios de nube de Microsoft en estas investigaciones.
Como parte de nuestra investigación continua de amenazas, monitoreamos en busca de nuevos indicadores que pudieran señalar la actividad de los atacantes. Como recién compartimos en nuestro Digital Defense Report 2020, hemos entregado más de 13 mil notificaciones a los clientes atacados por estados nación en los últimos dos años, y hemos observado un rápido incremento en la sofisticación y las capacidades de seguridad operativa. La reciente divulgación de FireEye es consistente con los ataques que hemos observado, y elogiamos la divulgación y el intercambio de FireEye, ya que creemos con firmeza que este intercambio en la industria es crítico para proteger al internet.
Dada la sofisticación de las técnicas y las capacidades de seguridad operativa del actor, queremos fomentar un mayor escrutinio por parte de la comunidad en general. Si bien estos elementos no están presentes en cada ataque, estas técnicas son parte del kit de herramientas de este actor.
- Una intrusión a través de código malicioso en el producto SolarWinds Orion. Esto da como resultado que el atacante se establezca en la red, lo que puede utilizar para obtener credenciales elevadas. Microsoft Defender ahora cuenta con detecciones para esos archivos. También, vean el Aviso de Seguridad de SolarWinds.
- Un intruso que utiliza permisos administrativos adquiridos a través de compromisos locales para obtener acceso al certificado de firma de tokens SAML de confianza de una organización. Esto les permite falsificar tokens SAML que se hacen pasar por cualquiera de los usuarios y cuentas existentes en una organización, incluidas cuentas con privilegios elevados.
- Inicios de sesión anómalos que usan tokens SAML creados por un certificado de firma por token comprometido, que puede ser utilizado contra cualquier recurso local (sin importar el sistema de identidad o proveedor), así como contra cualquier entorno de nube (sin importar el proveedor), porque han sido configurados para confiar en el certificado. Debido a que los tokens SAML están firmados con su propio certificado de confianza, las anomalías podrían ser pasadas por alto por la organización.
- Al utilizar cuentas con privilegios elevados adquiridas a través de la técnica mencionada o por otros medios, los atacantes podrían agregar sus propias credenciales a los principios de servicio de la aplicación existente, lo que les permite llamar APIS con el permiso asignado a esa aplicación.
Consulten la guía para el cliente sobre ciberataques recientes de estado nación para detalles y orientación específicos.
Creemos que es importante compartir actividad significativa de amenazas como la que hemos anunciado. Pensamos que es fundamental que los gobiernos y el sector privado sean cada vez más transparentes sobre la actividad de estados nación, para que todos podamos continuar con el diálogo global sobre la protección de internet. También esperamos que al publicar esta información, ayudemos a crear consciencia entre organizaciones e individuos sobre los pasos que pueden dar para protegerse.
Como recomendamos a nuestros clientes, también buscamos de manera activa indicadores en el entorno de Microsoft y, a la fecha, no hemos encontrado evidencia de un ataque exitoso.
Incluso con todos los recursos que dedicamos a la ciberseguridad, nuestra contribución sólo será una pequeña pieza de lo que se necesita para hacer frente al desafío. Se necesita de legisladores, la comunidad de negocios, las agencias de gobierno y, en última instancia, de los individuos, para hacer una diferencia real, y sólo podemos tener un impacto significativo a través de información compartida y asociaciones. Esperamos que esta contribución nos ayude a trabajar juntos de mejor manera para mejorar la seguridad del ecosistema digital.