El pasado mes de enero Microsoft reveló que había sufrido un ciberataque por parte de un actor patrocinado por el estado ruso, al que identificó como Midnight Blizzard (también conocido como APT29 o Cozy Bear).
Inicialmente, la compañía aseguró que no existían evidencias de que hubiera afectado a "los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial", aunque reconoció que los hackers habían obtenido acceso a "un porcentaje muy pequeño" de cuentas de correo electrónico corporativas y dos meses después, en marzo, admitió que también consiguieron tener acceso a algunos de sus repositorios de código fuente y sistemas internos. Este ciberataque ha adquirido últimamente una mayor envergadura, sobresaltando al mismísimo gobierno de Estados Unidos.
Así lo pone de manifiesto la "directiva de emergencia" lanzada el 2 de abril por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA, por sus siglas en inglés) el 2 de abril, emitida públicamente este jueves. En ella, CISA asegura que Midnight Blizzard ha aprovechado su acceso al sistema de correo electrónico de Microsoft para robar correspondencia electrónica entre organismos gubernamentales y el gigante de Redmond, lo que supone un "grave e inaceptable riesgo" para los organismos.
CISA advierte que los hackers respaldados por el Kremlin estaban explotando la información sustraída, incluidos los detalles de autenticación compartidos por correo electrónico, para intentar ingresar en ciertos sistemas de clientes de Microsoft, incluidos organismos gubernamentales a los que se refiere, sin precisar el número ni ningún detalle sobre los mismos, como un grupo de "agencias afectadas".
"Microsoft y CISA han notificado a todas las agencias federales cuya correspondencia por correo electrónico con Microsoft fue identificada como exfiltrada por Midnight Blizzard", señala, apuntando que la compañía también se ha comprometido a proporcionar metadatos de toda la correspondencia exfiltrada de las agencias federales, independientemente de la presencia de secretos de autenticación, a petición del Grupo de Trabajo Conjunto de Investigación Cibernética Nacional (NCIJTF).
Ordena a las agencias federales que mitiguen de inmediato el "riesgo significativo" de Midnight Blizzard
Ante el "grave e inaceptable riesgo" que representa el grupo patrocinado por Rusia, la Directiva de la CISA ordena a los organismos gubernamentales que "analicen el contenido de los correos electrónicos exfiltrados, restablezcan las credenciales comprometidas y tomen medidas adicionales para garantizar que las herramientas de autenticación para cuentas privilegiadas de Microsoft Azure sean seguras".
La agencia también insta a las entidades afectadas a realizar un análisis del impacto en ciberseguridad antes del 30 de abril de 2024 y a proporcionar una actualización de su estado antes del 1 de mayo de 2024 a las 11:59 de la noche.
"Como agencia de defensa cibernética de Estados Unidos y líder operativo de ciberseguridad civil federal, una de nuestras principales prioridades es garantizar que las agencias civiles federales estén tomando todas las medidas necesarias para proteger sus redes y sistemas. Esta Directiva de Emergencia requiere una acción inmediata por parte de las agencias para reducir el riesgo para nuestros sistemas federales", ha subrayado la directora de CISA, Jen Easterly.