Microsoft comparte información y emite orientación sobre el aumento de las actividades de un sofisticado factor de amenazas que se centra en objetivos de alto valor, como agencias gubernamentales y empresas de ciberseguridad.
Creemos que se trata de una actividad de estado-nación a una escala significativa, dirigida tanto al gobierno como al sector privado. Aunque no compartimos ningún detalle específico de organizaciones individuales, es importante que compartamos más detalles sobre parte de la actividad de amenazas que Microsoft ha descubierto en las últimas semanas. También de la orientación que los profesionales de la industria de seguridad pueden usar para encontrar y mitigar posibles actividades maliciosas.
Además, queremos asegurar a nuestros clientes que no ha sido identificada o detectada ninguna vulnerabilidad de producto o servicio en la nube de Microsoft en estas investigaciones.
Como parte de la investigación de amenazas en curso, Microsoft monitorea nuevos indicadores que podrían dar información sobre los atacantes. Recientemente, en el Informe de Defensa Digital 2020, se pueden observar más de 13,000 notificaciones a clientes atacados por estados nacionales en los últimos dos años, y se puede apreciar un rápido aumento en la sofisticación y las capacidades de seguridad operativa. La divulgación reciente de FireEye es consistente con los ataques observados.
Debido a la sofisticación de las técnicas y capacidades de seguridad operativa de los ataques, queremos fomentar un mayor escrutinio por parte de la comunidad en general. Aunque estos elementos no están presentes en cada ataque, estas técnicas forman parte del conjunto de herramientas que se utilizan para realizar los ataques:
1. Una intrusión a través de un código malicioso en el producto SolarWinds Orion. Esto hace que el atacante gane un punto de apoyo en la red, que puede usar para obtener credenciales elevadas. Microsoft Defender ahora tiene detecciones para estos archivos.
2. Un intruso que usa permisos administrativos, adquiridos a través de un compromiso local para obtener acceso al certificado de firma de tokens SAML de confianza de una organización. Esto les permite falsificar tokens SAML que suplantan a cualquiera de los usuarios y cuentas existentes de la organización, incluidas las cuentas con privilegios elevados.
3. Inicios de sesión anómalos con los tokens SAML, creados por un certificado de firma de tokens comprometido. Se pueden usar en cualquier recurso local (independientemente del sistema de identidad o proveedor), así como en cualquier entorno de nube (independientemente del proveedor) porque se han configurado para confiar en el certificado. Dado que los tokens SAML se firman con su propio certificado de confianza, la organización podría perder las anomalías.
4. Mediante cuentas con privilegios elevados adquiridas a través de la técnica anterior u otros medios, los atacantes pueden agregar sus propias credenciales a las entidades de servicio de aplicaciones existentes, lo que les permite llamar a las API con el permiso asignado a esa aplicación.
Puedes consultar el customer guidance on recent nation-state cyberattacks para detalles y orientaciones específicas.
Creemos que es importante compartir una actividad de amenazas significativa como la que anunciamos hoy, y que es fundamental que los gobiernos y el sector privado sean cada vez más transparentes sobre la actividad de los estados-nación, para que todos podamos continuar el diálogo global sobre la protección de Internet. También esperamos que publicar esta información ayude a crear conciencia entre las organizaciones y las personas sobre las medidas que pueden tomar para protegerse.
Como recomendamos a nuestros clientes, también estamos buscando activamente indicadores en el entorno de Microsoft y, hasta la fecha, no hemos encontrado evidencia de un ataque exitoso. Incluso con todos los recursos que dedica Microsoft a la ciberseguridad, nuestra contribución será sólo una pequeña parte de lo que se necesita para abordar el desafío.
Se requiere que los encargados de la formulación de políticas, la comunidad empresarial, las agencias gubernamentales, y en última instancia, las personas, hagan una diferencia real. Solo así se tendrá un impacto significativo a través de la información y las asociaciones compartidas.
Esperamos que esta contribución nos ayude a todos a trabajar juntos para mejorar la seguridad del ecosistema digital.
¡Hasta la próxima!
Comments