El jueves se ordenó a las agencias federales que hicieran frente «inmediatamente» a una ciberamenaza de hackers vinculados a Rusia que tienen como objetivo las cuentas de correo electrónico corporativo de Microsoft.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA, por sus siglas en inglés) emitió una directiva de emergencia que ordena a las agencias federales tomar medidas urgentes para mitigar el riesgo planteado por el grupo de hackers.
En concreto, la directiva se aplica a los organismos federales del poder ejecutivo civil (FCEB) atacados por Midnight Blizzard, un actor ruso patrocinado por el Estado que accedió a cuentas de correo electrónico corporativo de Microsoft.
El grupo también es conocido como Nobelium, el mismo equipo de hackers rusos responsable de la filtración de SolarWinds.
La directiva del jueves de la CISA decía a las agencias federales que tomaran «medidas para identificar el contenido completo de la correspondencia de la agencia con las cuentas de Microsoft comprometidas y realizar un análisis del impacto en la ciberseguridad».
También se les pidió que analizaran los correos electrónicos potencialmente comprometidos, restablecieran las credenciales comprometidas y mejoraran las medidas de seguridad de las cuentas privilegiadas de Microsoft Azure.
Jen Easterly, directora de la CISA, la agencia de ciberdefensa estadounidense, subrayó la urgencia de la directiva como una prioridad máxima que requiere atención.
En una declaración, hizo hincapié en la necesidad de «acciones inmediatas» por parte de las agencias federales para reducir el riesgo para los sistemas federales.
«Durante varios años, el gobierno estadounidense ha documentado la ciberactividad maliciosa como parte habitual del libro de jugadas ruso; este último compromiso de Microsoft se suma a su larga lista. Continuaremos nuestros esfuerzos en colaboración con nuestros socios del gobierno federal y del sector privado para proteger y defender nuestros sistemas de este tipo de actividad amenazadora».
Aunque la directiva se dirige específicamente a los organismos del FCEB, la CISA ha animado a otras organizaciones a solicitar orientación a sus respectivos equipos de cuentas de Microsoft.
Además, se aconsejó a todas las organizaciones que aplicaran medidas de seguridad estrictas, como contraseñas seguras, autenticación multifactor y canales seguros para la información sensible.
Ataque de Midnight Blizzard
Microsoft, que reveló inicialmente la brecha en enero, reveló en marzo que Midnight Blizzard había estado intentando violar sus sistemas aprovechando información inicialmente «exfiltrada de los sistemas de correo electrónico corporativo».
Este intento pretendía obtener acceso no autorizado, y Microsoft reveló que, en enero, un «porcentaje muy pequeño» de cuentas de correo electrónico corporativas se había visto comprometido en un «ataque de estado-nación» de Midnight Blizzard.
Midnight Blizzard pudo acceder a algunos repositorios de código fuente y sistemas internos de Microsoft. La empresa dijo que, en ese momento, no había encontrado pruebas de que los sistemas dirigidos al cliente alojados en Microsoft estuvieran comprometidos.
En una entrada de blog de marzo, Microsoft señaló: «Es evidente que Midnight Blizzard está intentando utilizar secretos de distintos tipos que ha encontrado».
Estos «secretos» incluyen información compartida entre clientes y Microsoft a través del correo electrónico. Microsoft se comprometió a informar y ayudar a los clientes afectados con medidas de mitigación.
Microsoft señaló que Midnight Blizzard puede estar «utilizando la información que ha obtenido para acumular una imagen de las zonas a atacar y mejorar su capacidad para hacerlo».
Además, Microsoft destacó un aumento significativo de tipos específicos de ataques, como los de pulverización de contraseñas, de hasta diez veces en febrero. La pulverización de contraseñas consiste en utilizar repetidamente la misma contraseña en diferentes cuentas para intentar un acceso no autorizado.
Los hackers presuntamente utilizaron un ataque de pulverización de contraseñas el pasado noviembre para acceder a una plataforma de Microsoft.
El 19 de enero, Microsoft señaló en una declaración reglamentaria que pudo eliminar el acceso de los hackers a las cuentas comprometidas alrededor del 13 de enero.
Las empresas que cotizan en bolsa, como Microsoft, están obligadas por la nueva normativa de la Comisión del Mercado de Valores a revelar las violaciones que puedan afectar negativamente a su negocio. La normativa les concede cuatro días hábiles para presentar al gobierno un informe que describa el momento, el alcance y la naturaleza de la violación, a menos que obtengan una exención por motivos de seguridad nacional.
The Epoch Times se ha puesto en contacto con Microsoft para obtener comentarios.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.