Microsoft atribuyó el ataque a su servicio de correo electrónico Outlook a actores chinos que denominó Storm-0558.
Washington, EEUU — Piratas informáticos, posiblemente vinculados a las agencias de inteligencia de China, están siendo culpados de una campaña de un mes que violó algunos sistemas de correo electrónico estadounidenses no clasificados, y con ello accedieron a una pequeña cantidad de cuentas en el Departamento de Estado y un puñado de otras organizaciones.
Microsoft anunció por primera vez la intrusión el martes, atribuyendo el ataque a su servicio de correo electrónico Outlook a actores chinos que denominó Storm-0558.
La compañía dijo en una publicación de blog que los piratas lograron falsificar un mecanismo de autenticación de Microsoft y obtener acceso a las cuentas de correo electrónico de 25 organizaciones, tanto en EEUU como en todo el mundo, a partir de mediados de mayo.
Añadió que el acceso se cortó después de que se descubrió la brecha un mes después.
“Evaluamos que este adversario se enfoca en el espionaje, como obtener acceso a los sistemas de correo electrónico para recopilación de inteligencia”, dijo Microsoft. “Este tipo de adversario busca abusar de las credenciales y obtener acceso a los datos que residen en sistemas delicados”.
El Departamento de Estado confirmó el miércoles que había descubierto la brecha y tomado «medidas inmediatas» para proteger sus sistemas y notificar a Microsoft.
Algunos funcionarios, sin embargo, dudaron en respaldar la afirmación de Microsoft, pero dijeron que Estados Unidos “haría todo lo posible para imponer costos” a quien fuera responsable.
“La sofisticación de este ataque, en el que los actores pudieron acceder al contenido del buzón de correo de las víctimas, es indicativo de actividad APT [amenaza persistente avanzada], pero no estamos preparados para discutir la atribución a un nivel más específico”, dijo un alto funcionario del FBI a los periodistas el miércoles bajo condición de anonimato.
Según altos funcionarios del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la cantidad de víctimas estadounidenses de la violación de Microsoft Outlook fue de un solo dígito y solo se accedió a una pequeña cantidad de cuentas.
Agregaron que debido a que la brecha se detectó rápidamente, los piratas no tuvieron acceso a ninguna cuenta de correo electrónico durante más de un mes y nunca tuvieron acceso a información o sistemas clasificados. En muchos casos, su acceso duró solo unos días.
Aun así, los funcionarios señalaron motivos de preocupación.
“El ataque fue intencional”, dijo un alto funcionario de CISA que habló con los periodistas bajo condición de anonimato. “Esta parece haber sido una campaña quirúrgica muy específica que no buscaba la amplitud de acceso que hemos visto en otras campañas”.
A pesar de la renuencia de algunos funcionarios cibernéticos de EEUU a culpar a China, el miércoles varios legisladores fueron más directos.
“La Comisión de Inteligencia del Senado está monitoreando de cerca lo que parece ser una violación significativa de la seguridad cibernética por parte de la inteligencia china”, dijo su presidente, Mark Warner, en un comunicado.
“Está claro que la República Popular China está mejorando constantemente sus capacidades de recopilación cibernética dirigidas contra EEUU y nuestros aliados”, agregó el demócrata de Virginia. “La estrecha coordinación entre el gobierno de EEUU y el sector privado será fundamental para contrarrestar esta amenaza”.
Altos funcionarios de inteligencia, seguridad y militares de EEUU han advertido durante mucho tiempo sobre la creciente amenaza a la seguridad cibernética que representan los piratas informáticos vinculados a China.
A principios de este año, la directora de CISA, Jen Easterly, advirtió que China “casi con certeza” emplearía operaciones cibernéticas agresivas contra EEUU en caso de que las tensiones entre Washington y Beijing empeoren.
Sin embargo, John Hultquist, analista jefe de la operación de inteligencia de seguridad cibernética Mandiant de Google, dijo que este último ataque mostró que la amenaza china ha evolucionado de una manera muy peligrosa.
“El espionaje cibernético chino ha recorrido un largo camino”, dijo Hultquist en un correo electrónico. “Han transformado su capacidad de una que estaba dominada por campañas amplias y ruidosas que eran mucho más fáciles de detectar. Antes eran descarados, pero ahora están claramente enfocados en el sigilo”.
La Voz de América contactó a la Embajada de China en Washington sobre las acusaciones de que Beijing estaba detrás del ataque a Microsoft.
“China está en contra de los ataques cibernéticos de todo tipo y ha sufrido piratería cibernética”, dijo el portavoz de la embajada china, Liu Pengyu, en un correo electrónico. “Como ha comentado el portavoz del MFA (Ministerio de Relaciones Exteriores) en una conferencia de prensa regular, la fuente de la afirmación de Microsoft viene de información de las autoridades gubernamentales.”
Liu continuó llamando a EEUU “el mayor imperio de piratería y el ladrón cibernético global”, y dijo que “ya era hora de que EEUU explique sus actividades de ciberataque y deje de difundir información falsa para desviar la atención del público”.
En su publicación de blog sobre la última infracción del martes, Microsoft dijo que había logrado reparar sus sistemas para todos sus clientes.
El FBI y CISA emitieron el miércoles por separado avisos de seguridad cibernética, instando a las organizaciones que usan Microsoft Exchange Online a tomar medidas para aumentar su seguridad y también el monitoreo de sus sistemas para detectar cualquier actividad sospechosa.