Microsoft ha revelado que un grupo de piratas informáticos accedió a los buzones de correo de varios miembros de organizaciones gubernamentales estadounidenses y europeas el pasado mes de mayo. El 12 de julio de 2023, el gigante tecnológico arrojó luz sobre el proceso que utilizan los ciberatacantes para conseguir sus fines.
Un ciberataque centrado en espiar buzones
Dentro una declaraciónCharlie Bell, vicepresidente ejecutivo de ciberseguridad de Microsoft, describió al grupo detrás de estos ataques informáticos, denominado Storm-0558, como « un grupo de actividad de estado-nación con sede en China «cuya acción es concentrada» sobre espionaje, robo de datos y acceso a credenciales «. Las autoridades estadounidenses nombran regularmente a China como el jugador más activo en el campo del espionaje cibernético.
Charlie Bell describe en su blog un acceso » a cuentas de correo electrónico de aproximadamente 25 organizaciones, incluidas agencias gubernamentales, así como cuentas de consumidores probablemente asociadas con estas organizaciones «. Se dieron a conocer pocos detalles sobre las víctimas en Estados Unidos y Europa, o sobre la naturaleza de los datos robados. Los centros de respuesta y alerta de ciberataques de Francia y la Unión Europea no lo han mencionado, por el momento.
Microsoft ha actuado para acabar con el ataque y restaurar la situación
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la agencia responsable de la defensa cibernética al otro lado del Atlántico, simplemente informa que una agencia federal civil, bajo su protección, » ha identificado actividad sospechosa en su entorno de nube de Microsoft 365 e informaba a él y a Microsoft.
El 15 de mayo de 2023, los piratas informáticos Storm-0558 obtuvieron acceso a los datos de estos buzones falsificando tokens de autenticación. Permiten forzar el acceso a cuentas de correo electrónico mediante Outlook. No fue hasta un mes después, el 16 de junio de 2023, que varios objetivos notaron que algunas de sus direcciones de correo electrónico habían sido pirateadas. CISA informa “ que los actores de Advanced Persistent Threat (APT) habían accedido y exfiltrado datos no clasificados de Exchange Online Outlook «. Adam Hodge, portavoz del Consejo de Seguridad Nacional de la Casa Blanca, confirmó a la prensa estadounidense que ninguna red de clasificados se vio afectada. La empresa dirigida por Satya Nadella afirma haber logrado mitigar estos ataques.