Un importante legislador acusa a una empresa de tecnología de negligencia en la seguridad que permitió una campaña de espionaje.
Microsoft está atrayendo un escrutinio renovado y acusaciones de seguridad negligente por un ataque que permitió a China espiar a altos funcionarios de la administración de Biden, ya que algunos investigadores de seguridad dicen que la violación puede ser peor de lo que se sospechaba inicialmente.
El ataque chino, revelado a principios de este mes , comprometió las bandejas de entrada de correo electrónico no clasificadas de Microsoft de altos funcionarios del Departamento de Estado, incluido el embajador de EE. UU. en China, así como la secretaria de Comercio Gina Raimondo y otros, según funcionarios estadounidenses.
Los detalles completos sobre el ataque, incluido cómo comenzó, no se conocen públicamente, pero ha provocado una serie de investigaciones en el Congreso. El jueves, un legislador líder en temas de seguridad cibernética, el senador Ron Wyden (D-Ore.), solicitó tres investigaciones federales separadas sobre las “prácticas negligentes de seguridad cibernética” de Microsoft que, según dijo, permitieron una campaña de espionaje chino contra el gobierno de EE. UU.
“Incluso con los detalles limitados que se han hecho públicos hasta ahora, Microsoft tiene una responsabilidad significativa por este nuevo incidente”, dijo Wyden en la carta, dirigida al fiscal general Merrick Garland, a la presidenta de la Comisión Federal de Comercio Lina Khan y a Jen Easterly, la director de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras.
Microsoft dijo que los piratas informáticos obtuvieron acceso a una parte oscura pero crítica de su infraestructura llamada clave de firma digital MSA, que luego se utilizó para obtener acceso a los datos del cliente. La compañía ha explicado aspectos del hackeo en publicaciones de blog, pero dijo que actualmente se desconoce cómo se desarrolló. La compañía de tecnología también dijo que crearía ciertas herramientas que pueden ayudar a detectar ataques cibernéticos de forma gratuita, luego de que su sistema de pago por niveles para esos servicios generara críticas luego del ataque .
Un portavoz de Microsoft dijo que la empresa está trabajando con agencias gubernamentales y está comprometida a compartir información sobre el hackeo. “Este incidente demuestra los desafíos en evolución de la ciberseguridad frente a los ataques sofisticados”, dijo.
“Estas claves de firma son el secreto más preciado que tienes”, dijo Ami Luttwak, cofundador de la empresa de seguridad en la nube Wiz, en una entrevista. “Es como si tuvieras una máquina de impresión para todos los pasaportes del mundo: puedes convertirte en quien quieras”.
Los investigadores de Wiz dijeron que la clave digital que se obtuvo se emitió en 2016 y no se puso fuera de servicio hasta unas semanas después de que se descubrió el ataque.
El portavoz de Microsoft dijo que los hallazgos de Wiz presentaban “escenarios de ataque hipotéticos” que la empresa no ha observado.
Las claves de MSA se pueden usar para obtener acceso a los productos de consumo de Microsoft, pero debido a una falla en la nube de Microsoft, los piratas informáticos pudieron usar la clave robada para acceder a cuentas gubernamentales y corporativas, según Microsoft.
Los expertos en seguridad y Wyden cuestionaron varias prácticas de Microsoft, incluida aparentemente la posibilidad de usar la misma clave MSA durante años.
“Las pautas federales de seguridad cibernética, las mejores prácticas de la industria y las propias recomendaciones de Microsoft para los clientes dictan que las claves de cifrado se actualicen con más frecuencia, por la misma razón de que podrían verse comprometidas”, dijo Wyden.
Los certificados digitales también jugaron un papel en el hackeo de SolarWinds de Rusia, descubierto en 2020. Wyden también culpó a Microsoft por su papel en ese incidente.
Aunque los expertos elogiaron a Microsoft por proporcionar algunos detalles sobre el ataque chino, algunos pidieron más divulgación, diciendo que es necesario para determinar el alcance del daño y si podría volver a ocurrir.
“Mi preocupación aquí es que no sabemos cómo escapó la llave”, dijo Karim El-Melhaoui,
principal arquitecto de seguridad de la empresa de seguridad O3 Cyber.
En su carta, revisada por el Journal, Wyden le pidió al Departamento de Justicia que investigara si Microsoft violó la ley federal relacionada con los estándares de seguridad cibernética para los contratistas del gobierno. También le pidió a la FTC que investigara las prácticas de privacidad y seguridad de datos de Microsoft, incluso si las supuestas fallas de seguridad en cuestión en el ataque comenzaron antes de la expiración en diciembre de un decreto de consentimiento de 20 años que la agencia impuso luego de un incidente de seguridad anterior.
Finalmente, el senador solicitó a la Junta de Revisión de Seguridad Cibernética que revisara la campaña de espionaje cibernético y por qué las auditorías gubernamentales no habían descubierto previamente las aparentes deficiencias de seguridad de Microsoft.
“Hacer responsable a Microsoft por su negligencia requerirá un esfuerzo de todo el gobierno”, dijo Wyden.
La carta es el último esfuerzo de los legisladores y expertos en seguridad cibernética para obtener una comprensión más completa del hackeo, supuestamente patrocinado por el estado. Los funcionarios estadounidenses han tratado de minimizarlo como espionaje de rutina entre naciones adversarias.
Algunos especialistas en seguridad cibernética lo han considerado un compromiso inusualmente poderoso e impresionante de la infraestructura de correo electrónico basada en la nube de Microsoft. Una carta bipartidista separada firmada por 14 senadores, enviada el miércoles y reportada anteriormente por Newsweek, solicitó al director de información del Departamento de Estado una sesión informativa no clasificada sobre el ataque a principios de septiembre.
Wiz cree que los piratas informáticos podrían haber robado datos además de correos electrónicos, como mensajes de chat de Microsoft Teams y documentos de SharePoint.
Estados Unidos no ha vinculado formalmente el ataque a China, aunque Microsoft lo atribuyó a un grupo de hackers chino y funcionarios y legisladores han dicho que Beijing es el responsable. China ha negado las acusaciones.
Más de dos docenas de organizaciones en todo el mundo se vieron afectadas, dijo Microsoft. Menos de 10 organizaciones se vieron comprometidas en los EE. UU., y los piratas informáticos aparentemente accedieron a una pequeña cantidad de cuentas de correo electrónico individuales en cada caso, dijeron funcionarios estadounidenses. Han descrito el ataque como dirigido estrictamente a personas cuyas comunicaciones se creía que poseían un alto valor de inteligencia.
Fuente: https://www.wsj.com/articles/microsoft-faces-mounting-scrutiny-over-china-linked-email-hack-7a028523?mod=djemCIO