El grupo de ciberseguridad FireEye dijo el jueves que encontró pruebas de que hackers vinculados al régimen chino aprovecharon una falla en una aplicación de correo electrónico de Microsoft para ir tras varios objetivos estadounidenses, incluyendo una universidad y gobiernos locales.
Los analistas de FireEye escribieron en un blog que la compañía construyó «detecciones de mayor fiabilidad» y lanzó múltiples campañas de caza de amenazas después de que Microsoft confirmara a principios de esta semana que un grupo de hackers patrocinado por el estado chino y conocido como «Hafnium» había aprovechado las vulnerabilidades del programa de correo electrónico Exchange Server de Microsoft.
Utilizando su gama de métodos y herramientas de detección, FireEye descubrió que «la actividad notificada por Microsoft coincide con nuestras observaciones» y afirmó que los hackers de Hafnium tenían como objetivo una serie de víctimas, entre las que se encontraban «tiendas con sede en Estados Unidos, gobiernos locales, una universidad y una empresa de ingeniería», así como un gobierno del sudeste asiático y una empresa de telecomunicaciones de Asia Central.
FireEye señaló que los hackers de Hafnium habían atacado anteriormente a universidades estadounidenses, contratistas de defensa e investigadores de enfermedades infecciosas.
Los analistas dijeron que FireEye está actualmente rastreando la actividad maliciosa en tres grupos, pero advirtieron que esperan encontrar grupos adicionales al responder a las intrusiones.
«Recomendamos seguir las orientaciones de Microsoft y parchear Exchange Server inmediatamente para mitigar esta actividad», dijeron los analistas.
Para aquellos que busquen pruebas potenciales de riesgo, FireEye recomienda comprobar si hay archivos escritos en el sistema por w3wp.exe o UMWorkerProcess.exe, recursos inexistentes y agentes de usuario HTTP sospechosos o falsificados.
«En nuestras investigaciones hasta la fecha, las webshells colocadas en los servidores Exchange han recibido nombres diferentes en cada incursión, por lo que el nombre del archivo por sí solo no es un indicador completamente fiable del riesgo», afirman los analistas.
Esto se produce días después de que Microsoft dijera en una publicación de su blog que la campaña de hackeo vinculada al régimen chino hizo uso de cuatro vulnerabilidades no detectadas previamente en diferentes versiones del software de Exchange Server.
El conjunto de productos de Microsoft ha estado bajo vigilancia desde el hackeo de SolarWinds, la firma de software con sede en Texas que sirvió como plataforma para varias infiltraciones en el gobierno y el sector privado. En otros casos, los hackers se aprovecharon de la forma en que los clientes habían configurado sus servicios de Microsoft para comprometer sus objetivos o adentrarse en las redes afectadas.
Los hackers que atacaron a SolarWinds también accedieron a la propia Microsoft y descargaron el código fuente, incluidos elementos de Exchange, el producto de correo electrónico y calendario de la empresa.
Antes del anuncio de Microsoft, los movimientos cada vez más agresivos de los hackers empezaron a llamar la atención de la comunidad de ciberseguridad.
Mike McLellan, director de inteligencia de Secureworks, de Dell Technologies Inc., dijo antes del anuncio de Microsoft que había notado un repunte en la actividad que afectaba a los servidores de Exchange durante la noche del domingo, con unos 10 clientes afectados en su empresa.
McLellan dijo que, por el momento, la actividad de hacking que había visto parecía centrada en la implantación de software malicioso y en preparar el terreno para una intrusión potencialmente más profunda, en lugar de entrar agresivamente en las redes de inmediato.
«Todavía no hemos visto ninguna actividad de seguimiento», dijo. «Vamos a encontrar muchas empresas afectadas, pero un número menor de empresas realmente siendo utilizadas».
Microsoft dijo que los objetivos incluían investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, think tanks de política y grupos no gubernamentales.
Con información de Reuters.
Siga a Tom en Twitter: @OZImekTOM
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.