En las últimas semanas, fueron pirateadas cuentas de correo electrónico, algunas de ellas pertenecientes a agencias gubernamentales estadounidenses, principalmente del Departamento de Comercio.
Índice de temas
El ciberataque explicado por Microsoft
Microsoft elaboró un perfil muy detallado y específico de la banda que supuestamente está detrás. Se trata de un grupo bien organizado, metódico y bien financiado de origen chino, conocido como Storm-0558.
Especializado en el acceso no autorizado a cuentas de correo electrónico, se hizo un nombre a lo largo de los años porque persigue a sus objetivos a través de campañas de phishing o explotando fallos en el código OAuth en la creación de tokens de sesión, un tema que han demostrado dominar.
Otra marca registrada de este grupo son los ataques WebShells, como ChinaChopper, en combinación con malware de la familia Cigril, que puede lanzarse secuestrando peticiones de bibliotecas de vínculos dinámicos (DLL).
Un grupo de ciberdelincuentes bien entrenados
Los recursos y técnicas utilizados demuestran que el grupo criminal chino está bien entrenado y dispone de un considerable “arsenal” de ataque.
De hecho, en junio, a raíz de un informe de una agencia del gobierno federal, Microsoft inició una investigación sobre actividades anómalas de correo electrónico, cuyo origen podría remontarse a Storm-0558.
La estrategia de ataque
Se observaron los eventos MailItemsAccessed, con los que se podía asociar el comportamiento incoherente de ClientAppID y AppID, encontrados a partir de los registros de Microsoft 365 y determinados midiendo las desviaciones entre los hallazgos históricos normales de las actividades de Outlook relacionadas con el funcionamiento de AppId, y los registros de los eventos MailItemsAccessed.
El evento MailItemsAccessed se genera cuando un usuario con licencia accede a elementos del buzón de Exchange Online, independientemente del cliente y el protocolo utilizados para conectarse: AppId en ese contexto no debería acceder normalmente a elementos del buzón.
Para violar las cuentas de Exchange Online y Azure AD se utilizó un token de autenticación falsificado con una clave de firma de cuenta de Microsoft (MSA) inactiva.
La clave se utilizó para crear nuevos tokens de autenticación aprovechando un fallo en la API GetAccessTokenForResource.
Los tokens se utilizaron posteriormente para autenticar y acceder a las cuentas de correo institucionales de las víctimas a través de la API Outlook Web Access en los servicios Exchange Online (OWA) y Outlook.com.
Los tokens de autenticación se utilizan para certificar una identidad cuando se solicita el acceso a un recurso. Son asignados a la entidad que los solicita por un proveedor de identidades.
Tras obtener el token, la entidad procede a firmarlo con una clave privada (a efectos de autenticación) y a enviar la solicitud de acceso al recurso. Este último validará el token utilizando una clave pública.
Ese fallo en el procedimiento de validación
Un aspecto relevante, en el análisis del incidente, es el uso por parte de los atacantes de una clave privada MSA para firmar los tokens de Azure Active Directory. Esta operación debería haber invalidado los tokens, ya que se requiere una firma propietaria de Azure Active Directory para firmar un token AAD: el acceso se concedió aprovechando un fallo en el código del procedimiento de validación.
De hecho, las claves MSA (consumidor) y Azure AD (empresa) son emitidas y gestionadas por sistemas separados y solo deberían ser válidas para los sistemas respectivos.
La agencia informó de la actividad a Microsoft y a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), tal y como exige la Orden Ejecutiva (OE) 14028, Sec.2, párr. F/II, una ley que contiene principios y recomendaciones relativos a la Ciberseguridad Federal.
Las directrices de la CISA y el FBI
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y el FBI emitieron inmediatamente directivas para perfeccionar los criterios de supervisión de los entornos Microsoft Exchange expuestos de las organizaciones responsables de infraestructuras críticas con el fin de detectar actividades maliciosas idénticas o similares.
Durante la actividad maliciosa, los ciberdelincuentes hicieron uso de diversas técnicas y de una compleja infraestructura. En particular, adoptaron scripts Powershell y Python para ejecutar llamadas a la API de OWA, utilizando Tor y múltiples servidores proxy de tipo SOCK5 para realizar peticiones web ocultando su presencia.
Según un comunicado oficial, Microsoft completó las actividades de mitigación invalidando y reemplazando las claves MSA activas en el momento del ataque, bloqueando los tokens generados a través de la clave utilizada por los atacantes y resolviendo la vulnerabilidad relacionada con la validación incorrecta de tokens.
CISA, por su parte, destacó la importancia de servicios como los prestados por un SOC en este contexto, subrayando la importancia de herramientas como SIEM y SOAR, incluso en estos casos en los que gran parte de la supervisión se delega en el proveedor de servicios en CLOUD.
Prohibida su reproducción total o parcial.