Presuntos Hackers Chinos se Aprovechan de un Fallo de Microsoft Exchange para Robar Registros de Llamadas

A principios de marzo, Microsoft reveló que las fallas en su software Microsoft Exchange estaban siendo explotadas por un grupo de hackers chinos conocido como Hafnium. El grupo, según se reveló, había estado llevando a cabo ataques dirigidos a varias organizaciones. Esto incluye bufetes de abogados, contratistas de defensa, ONGs e incluso investigadores de enfermedades infecciosas. Los sistemas vulnerables atacados incluyen plataformas de correo electrónico utilizadas por estas organizaciones.

Cuando ocurren los ataques, los hackers dejan atrás una herramienta conocida como una concha web. Una concha web es una herramienta de hacking muy protegida que es fácilmente accesible a través de internet. Esto hace que los servidores Exchange no parcheados sean los más vulnerables. Esto se debe a que la concha web proporciona al hacker un acceso remoto sin trabas al computador de la víctima. Han surgido informes que indican que cientos de miles de servidores Microsoft Exchange han sido comprometidos de esta manera. Cada servidor comprometido representa una organización que usa Exchange como parte de su configuración administrativa.

Hafnium también ha sido culpado de una serie de ataques a una compañía de telecomunicaciones del sudeste asiático. En esta instancia, los hackers se dirigieron y robaron registros de llamadas de la compañía no nombrada a partir de finales de 2020, incluso antes de que se descubriera el hackeo a Microsoft Exchange.

El grupo de hackers ha estado en operación desde 2017 y ha logrado evadir la detección todo el tiempo. Un informe de 2019 reveló que el grupo violó la seguridad de 10 compañías de telecomunicaciones en África, Oriente Medio, Europa y Asia. En este momento, el grupo se ha unido a otros dos equipos de hackers con vínculos a China para llevar a cabo los mismos tipos de ataques.

Descubrimiento

La empresa de ciberseguridad Volexity se atribuye el mérito de haber detectado por primera vez la brecha. La compañía notó una transferencia masiva de datos de los servidores de Microsoft Exchange a principios de enero de 2021. Lamentablemente, esto fue durante el período en que el mundo estaba distraído por los disturbios en el Capitolio de los Estados Unidos. Steven Adair, presidente de Volexity, declaró que es probable que los hackers aceleren sus acciones en los próximos meses. Las organizaciones que no pueden hacer los cambios requeridos a sus sistemas y subir las actualizaciones de seguridad que Microsoft puso a su disposición serán las más vulnerables.

“Por muy malo que sea ahora, creo que está a punto de empeorar mucho más,” dijo Adair. “Esto les da una cantidad limitada de oportunidades para explotar algo. El parche no solucionará eso si dejaron su puerta trasera abierta.” 

La respuesta de Microsoft

En una rápida reacción, el 2 de marzo, Microsoft lanzó actualizaciones de seguridad para abordar las vulnerabilidades que los hackers estaban explotando en las versiones del servidor Exchange 2013 hasta 2019.

La compañía además declaró que estaba trabajando con la Agencia de Seguridad Cibernética e Infraestructura de Estados Unidos (CISA) para ofrecer orientación a los clientes sobre los próximos pasos. “La mejor protección es aplicar actualizaciones tan pronto como sea posible en todos los sistemas afectados,” afirmó un portavoz de la compañía. 

Sin embargo, Microsoft añadió que los ataques no afectaron a los clientes que utilizan el servicio Exchange Online. Sin embargo, es seguro que la mayoría de las organizaciones que han sido comprometidas utilizaban alguna forma de Microsoft Outlook Web Access (OWA), además de los servidores internos de Exchange. 

Vínculo con China

En julio, la Casa Blanca acusó formalmente a China de explotar la falla de Microsoft Exchange para perpetrar el ataque. Estados Unidos emitió un comunicado instando a las autoridades chinas a “respetar las normas de las relaciones internacionales y no permitir que su territorio sea utilizado para actividades cibernéticas maliciosas, y tomar todas las medidas apropiadas y razonablemente disponibles y factibles para detectar, investigar y abordar la situación.”

Assaf Dahan, jefe de investigación de objetivos en Cybereason, una compañía de ciber-tecnología, estableció los vínculos de los hackers con China. Según Dahan, la naturaleza de los ataques y la superposición de tácticas y objetivos sugieren que los hackers tienen el mismo origen – el gobierno chino. Más aún, los objetivos han sido de interés para las autoridades chinas, sobre todo los disidentes políticos. 

Sin embargo, no hay una forma concreta de vincular los ataques con China. Esto se debe a que es difícil rastrear ataques en empresas de telecomunicaciones a individuos o gobiernos particulares. Es mucho más fácil si los ataques son individuales, como cuando se incrusta un software espía en el dispositivo de una víctima. Atacar a los proveedores de telecomunicaciones también tiene otro beneficio: desdibuja la identidad de los objetivos finales. Los usuarios de telecomunicaciones provienen de un gran grupo de individuos en varios países. Como no se apunta a ningún usuario final en concreto, las agencias de seguridad tendrán dificultades para detectar los ataques o prevenirlos. 

Según Dahan, aunque los objetivos principales de los ataques a Microsoft Exchange fueron los países del sudeste asiático, existe la posibilidad de que también se haya apuntado a personas en otras regiones. 

Un experto en seguridad de alto nivel mencionó que era desconcertante la naturaleza de los ataques que provenían de China. El experto en seguridad reveló que la acción fue imprudente y fuera de lo común para China.

Las autoridades chinas, como era de esperarse, negaron la responsabilidad del ataque.