El Gobierno estadounidense destaca la importancia del registro de auditoría para frenar la última campaña de espionaje
CISA y el FBI dicen que el registro de auditoría fue fundamental para descubrir la campaña china dirigida a las agencias del gobierno de EE. UU. e instan a todas las organizaciones a garantizar que la tecnología de seguimiento organizacional esté habilitada.
Tras recibir un informe de una agencia del gobierno federal de Estados Unidos, Microsoft descubrió que un agente de espionaje chino al que llama Storm-0588 obtuvo acceso a su Outlook Web Access y al servicio de correo electrónico no clasificado durante un mes aproximadamente, como parte de una campaña que ha afectado a 25 organizaciones. Este grupo llegó a los datos utilizando tokens de autenticación falsos obtenidos a través de una clave de firma de cuenta de Microsoft, aunque aún no está claro si fue la propia empresa la que experimentó la infracción. Esta mitigó el ataque sin requerir una acción por parte de sus clientes y ha dicho que añadido “detecciones automatizadas sustanciales para indicadores conocidos de compromiso asociados con este ataque para fortalecer las defensas y los entornos de las compañías”.
El Departamento de Estado fue el primero en detectar la campaña. Además, la fecha del descubrimiento, en junio, fue cercana al momento del viaje del secretario de estado, Antony Blinken, a China. Asimismo, los correos del Departamento de Comercio, incluidos los de su secretaria Gina Raimondo, también fueron vulnerados. Esta división se ha mostrado activa en la limitación de la exportación de tecnología al país asiático.
Aunque Microsoft atribuye la campaña a China, El Gobierno de EE.UU se ha abstenido de hacerlo. “En términos de atribución, la sofisticación de este ataque es indicativo de la actividad de APT, pero no estamos preparados para hacerlo a nivel específico”, se ha deslizado desde el FBI.
Tampoco se ha revelado qué agencias o cuántas más se han visto afectadas, y “la cantidad de organizaciones de los Estados Unidos es de solo un dígito, y la cantidad de cuentas para cada una fue pequeña. “Parece haber sido una campaña quirúrgica muy específica que no buscaba la amplitud de acceso como hemos visto en casos como el de SolarWinds”.
El registro de auditoría fue crucial para el descubrimiento de la campaña
Tras el anuncio de la campaña por parte de Microsoft, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) publicaron un Aviso de Seguridad Cibernética (CSA) conjunto, la monitorización mejorada para detectar actividad de APT dirigida a Outlook Online , para guiar a las agencias y críticos organizaciones de infraestructura en la mejora de la supervisión en entornos de Microsoft Exchange Online.
En el aviso, CISA y el FBI alientan encarecidamente a las organizaciones de infraestructura crítica a garantizar que esté habilitado el registro de auditoría que rastrea la actividad del software en los sistemas organizacionales, a los que atribuyen el descubrimiento del ataque. “Cabe señalar que la agencia afectada pudo detectar inicialmente la actividad sospechosa al aprovechar el registro mejorado, un registro específico llamado MailItemsAccessed como se describe en nuestro aviso conjunto y señaló que este evento de registro fue una desviación de su actividad normal en el entorno de la nube”.
CISA y el FBI dijeron en el aviso que “el evento MailItemsAccessed se genera cuando los usuarios con licencia acceden a elementos en los buzones de correo de Exchange Online utilizando cualquier protocolo de conectividad de cualquier cliente. La agencia FCEB [Poder Ejecutivo Civil Federal] consideró que esta actividad era sospechosa porque el AppId observado normalmente no accedía a los elementos del buzón en su entorno”.
Las agencias enfatizaron la importancia del registro de auditoría para lo que los funcionarios del gobierno dicen que fue una reacción rápida a la campaña, particularmente en comparación con las intrusiones del gobierno en el pasado. “Se insta a todas las organizaciones a revisar la guía de registro y las recomendaciones de endurecimiento en nuestro aviso conjunto, que son necesarias para todas las organizaciones que utilizan aplicaciones comerciales en la nube, ya sea que hayan sido afectadas o no por esta campaña de intrusión específica”.
Hacer que el registro de auditoría sólido sea gratuito ayudaría
Una barrera importante para adoptar un registro de auditoría sólido es el precio superior que Microsoft asigna a sus niveles más altos de registro de auditoría, que incluyen MailItemsAccessed. “Nuestra perspectiva es que todas las organizaciones que utilicen un servicio de tecnología como Microsoft 365 deberían tener acceso al registro y otros datos de seguridad listos para usar para detectar razonablemente la actividad cibernética maliciosa. Hemos estado trabajando en estrecha colaboración con Microsoft para garantizar la disponibilidad de este registro necesario para todas las organizaciones, federales y no federales, sin cargo adicional”, dijo el funcionario de CISA.
“Apreciamos el compromiso de Microsoft de seguir avanzando en esta área. No podemos confiar en que las organizaciones paguen más por un mejor registro. Esa es una receta para una visibilidad inadecuada y adversarios que tienen niveles innecesarios de éxito al apuntar a las organizaciones estadounidenses”.
