Piratas informáticos chinos han conseguido acceder a las cuentas de correo electrónico de alrededor de 25 organizaciones, incluidas agencias gubernamentales de Estados Unidos, según ha revelado Microsoft y han confirmado la Casa Blanca y el Departamento de Estado.
El gigante tecnológico destapó esta serie de ciberataques este pasado martes por la noche a través de una publicación de su blog corporativo firmada por Charlie Bell, su vicepresidente ejecutivo en temas de seguridad, cumplimiento, identidad y gestión.
Según señala, Microsoft atribuye estas intrusiones ilegítimas a un actor de amenazas con sede en China que está centrado en el espionaje y al que ha estado rastreando como 'Storm-0558'. La compañía comenzó a investigarlo el pasado 16 de junio, a raíz de que uno de sus clientes notificara actividad inusual en el correo de Office 365.
"Nuestra investigación reveló que, a partir del 15 de mayo de 2023, Storm-0558 obtuvo acceso a datos de correo electrónico de aproximadamente 25 organizaciones y una pequeña cantidad de cuentas de usuarios probablemente asociados con estas organizaciones".
Microsoft ha preferido no desvelar cuáles son las organizaciones y agencias gubernamentales afectadas por estas violaciones de correo electrónico, pero, según informa CNN, entre ellas se encuentran los Departamentos de Estado y Comercio de EE.UU.
Lo que sí ha explicado la compañía es cómo cometieron los hackers chinos estas intromisiones. Las perpetraron utilizando tokens de autenticación falsificados con la ayuda de una clave de firma de consumidor de una cuenta robada de Microsoft (MSA).
"Las investigaciones de Microsoft determinaron que Storm-0558 obtuvo acceso a las cuentas de correo electrónico de los clientes utilizando Outlook Web Access en Exchange Online (OWA) y Outlook.com al falsificar tokens de autenticación para acceder al correo electrónico del usuario", ha indicado Microsoft Security Response Center en otra publicación compartida también el pasado martes por la noche.
La Casa Blanca, el Departamento de Estado y CISA han confirmado esta campaña de espionaje
Adam Hodge, portavoz del Consejo de Seguridad Nacional de la Casa Blanca, ha confirmado que las agencias gubernamentales de EE.UU. han sido víctimas de estos hackeos de Storm-0558.
"El mes pasado, las ciberdefensas del gobierno de EE. UU. identificaron una intrusión en la seguridad de la nube de Microsoft, que afectó a sistemas no clasificados", ha declarado Hodge en un comunicado recogido por CNN.
"Los funcionarios contactaron de inmediato a Microsoft para encontrar la fuente y la vulnerabilidad en su servicio en la nube". "Seguimos manteniendo a los proveedores de adquisiciones del gobierno de los EE.UU. en un alto umbral de seguridad", ha añadido.
Por otra parte, el Departamento de Estado "detectó actividad anómala, tomó medidas inmediatas para asegurar nuestros sistemas y continuará monitoreando de cerca y respondiendo rápidamente a cualquier actividad adicional", según ha manifestado un portavoz del departamento e informa el citado medio.
CISA, la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (DHS) de los Estados Unidos, también ha confirmado estas ofensivas en un comunicado en el que indica que otra de las víctimas del grupo de hackers chinos ha sido una agencia del Poder Ejecutivo Civil Federal (FCEB). No obstante, un alto funcionario de CISA ha subrayado que el número de organizaciones estadounidenses, públicas o privadas, afectadas por estos ciberataques es de "un solo dígito".
Storm-0558 realizó estas violaciones de correo eletrónico en las semanas previas a que el secretario de Estado, Antony Blinken, visitara China a mediados de junio, aunque por el momento no está claro si la campaña de espionaje está motivada por esta visita.
Storm-0558 también se dirige a agencias gubernamentales de Europa occidental
En su publicación, Microsoft Security Response Center apunta que, además de centrarse en el espionaje, Storm-0558 también se enfoca en el robo de datos y el acceso a credenciales. Además, deja caer que sus objetivos no solo son estadounidenses ya que afirma que "se dirige principalmente a agencias gubernamentales de Europa occidental", aunque no dice nada más al respecto.
Microsoft también destaca, en las dos entradas de su blog, que ya ha completado la mitigación de este ciberataque para todos sus clientes y que está trabajando con CISA y otras agencias gubernamentales de EE.UU. para proteger a los clientes afectados y seguir monitoreando la actividad de este grupo de ciberdelincuentes chinos.