La agencia de seguridad nuclear de EE. UU. fue violada recientemente por Microsoft

La Administración Nacional de Seguridad Nuclear, que supervisa el diseño y el mantenimiento del arsenal de armas nucleares de Estados Unidos, estuvo entre aquellos cuyos sistemas fueron violados como parte del reciente ataque a Microsoft SharePoint.

Una fuente anónima de la NNSA afirmó que no parece que se hayan robado datos clasificados ni sensibles en la filtración de datos de la NNSA. Al ser preguntada sobre la filtración, la NNSA dirigió todas las investigaciones al Departamento de Energía, que supervisa la administración como parte de sus responsabilidades más amplias.

“El viernes 18 de julio, la explotación de una vulnerabilidad de día cero de Microsoft SharePoint comenzó a afectar al Departamento de Energía”, dijo un portavoz de la agencia. 

El departamento se vio mínimamente afectado gracias al uso generalizado de la nube Microsoft M365 y a sus eficaces sistemas de ciberseguridad. Un pequeño número de sistemas se vio afectado. Todos los sistemas afectados se están restaurando

La NNSA desempeña una amplia gama de funciones, además de la gestión de armas nucleares. Construye reactores navales para la flota de submarinos de la Armada, responde a emergencias nacionales e internacionales, facilita el transporte seguro de armas nucleares por todo Estados Unidos y apoya las iniciativas antiterroristas.

Esta no era la primera vez que hackers penetraban en las redes vinculadas a la NNSA mediante una herramienta de terceros. En 2020, la agencia fue blanco de un ataque contra SolarWinds Corp., cuyo software se utiliza para la gestión de redes. En aquel momento, el Departamento de Energía declaró que el malware se había "limitado a las redes empresariales"

Microsoft culpó a piratas informáticos patrocinados por el estado chino

La brecha de seguridad aprovechó las vulnerabilidades de la plataforma SharePoint y afectó a gobiernos y empresas de todo el mundo. En algunos casos, los atacantes robaron información de inicio de sesión, como nombres de usuario y contraseñas, junto con tokens y códigos hash, según un informe anterior de Bloomberg. 

Más allá del Departamento de Energía, esta violación se extendió a los sistemas de los gobiernos nacionales de Oriente Medio y la Unión Europea, así como a varias agencias estadounidenses, incluido el Departamento de Educación, la Asamblea General de Rhode Island y el Departamento de Ingresos de Florida.

Los investigadores afirman que aún se está determinando el alcance total de la intrusión. Las fallas de software afectan a organizaciones que ejecutan SharePoint localmente en lugar de a través del servicio en la nube de Microsoft, lo que pone en especial riesgo las instalaciones locales.

En una publicación de blog, Microsoft nombró a dos equipos de hackers vinculados a China: Violet Typhoon y Linen Typhoon. La publicación mencionó a un tercer grupo, llamado Storm-2603, que utiliza tácticas similares para vulnerar sistemas.

El lunes, Charles Carmakal, director de tecnología de Mandiant, una empresa de ciberseguridad propiedad de Google, dijo en una publicación de LinkedIn: “Evaluamos que al menos uno de los actores responsables de la explotación temprana es un actor de amenazas con nexo con China”

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) confirmó el domingo que estaba al tanto de la explotación activa de la vulnerabilidad de SharePoint. Microsoft respondió con parches para las versiones locales de SharePoint y, posteriormente, publicó una tercera corrección el lunes.

SharePoint es un componente esencial del paquete Office de Microsoft. Funciona como un centro de colaboración que permite a los empleados de las organizaciones acceder a archivos y documentos compartidos a través de un portal central.

Microsoft ha sido atacado por equipos de hackers chinos en el pasado

El año pasado, el director ejecutivo de Microsoft, Satya Nadella, declaró que la ciberseguridad era la principal prioridad de la empresa después de que un informe del gobierno criticara la respuesta de la empresa a una violación de cuentas de correo electrónico pertenecientes a funcionarios en China. 

A principios de este mes, Microsoft dijo a sus clientes que ya no dependería de ingenieros chinos para los servicios en la nube proporcionados al Pentágono, luego de informes de los medios de comunicación de que la configuración podría haber permitido ataques a los sistemas de defensa pertenecientes a los EE. UU.

En 2021, otro grupo llamado Hafnium, vinculado a China, explotó una falla separada en el software Exchange Server de Microsoft para ingresar a las redes de organizaciones de todo el mundo.

En una declaración enviada por correo electrónico a los periodistas, la embajada china en Washington dijo que Beijing se oponía a “toda forma de ciberataques” y advirtió contra “difamar a otros sin pruebas sólidas”

Los investigadores de seguridad detectaron la vulnerabilidad por primera vez en mayo durante un concurso de hacking en Berlín organizado por Trend Micro. El evento ofrecía premios cash a quienes encontraran errores de software no revelados. La competencia incluía un premio de $100,000 para exploits de día cero dirigidos a SharePoint, lo que puso de relieve la gran importancia de estas fallas ocultas.