Por Catherine Yang
Eye Security, una compañía de ciberseguridad con sede en los Países Bajos que ha estado rastreando a las víctimas de ataque de Microsoft SharePoint, dijo que un análisis de las víctimas muestra que casi un tercio eran sistemas del sector gubernamental.
«A partir de los datos, está claro que esta no era una campaña aleatoria u oportunista. Los atacantes sabían exactamente lo que estaban buscando», dijo Lodi Hensen, vicepresidenta de operaciones de seguridad de la seguridad ocular, el 29 de julio en una publicación de blog.
Microsoft identificó a dos grupos chinos patrocinados por el estado y un grupo separado con sede en China entre los perpetradores.
Múltiples agencias estadounidenses, incluida la Administración Nacional de Seguridad Nuclear y los Institutos Nacionales de Salud, han confirmado que estaban sujetos a la exploit masiva.
De 396 sistemas comprometidos confirmados por el escaneo de la Seguridad de la Seguridad de más de 27,000 sistemas de SharePoint en la primera semana de la violación, los sistemas del sector educativo representaron el 13 por ciento de las víctimas, segundo después de los objetivos del gobierno.
Eye Security dijo que esto sugirió fuertemente una operación dirigida por inteligencia. En su descripción inicial de los ataques cibernéticos, la compañía de seguridad señaló que esta era una operación «sigilosa» destinada a extraer y filtrar secretos encriptados, y permitió el acceso remoto completo.
La mayoría de los ataques exitosos fueron contra sistemas en los Estados Unidos, lo que representaron el 18 por ciento de las víctimas. El país de Mauricio de África Oriental, que recientemente recibió soberanía sobre las Islas Chagos, donde se encuentra una base aérea de EE. UU. Estratégicamente importante, representaba el 8 por ciento de los sistemas comprometidos. Alemania representó el 7 por ciento de las infecciones confirmadas, y Francia para el 5 por ciento. Eye Security señaló que, si bien solo dos organizaciones en Jordania estaban comprometidas, esos sistemas experimentaron «un volumen de ataques inusualmente alto».
Además del gobierno y la educación, los proveedores de software como servicio (SaaS), proveedores de telecomunicaciones y redes eléctricas fueron objetivos de esfuerzos enfocados.
«Se sabe que estos sectores tienen datos de alto valor y sirven como puntos de entrada ricos en inteligencia en redes más amplias», declaró Eye Security en su publicación de blog.
Múltiples olas de ataques
La seguridad ocular fue la primera en detectar la explotación masiva de la vulnerabilidad de SharePoint el 18 de julio.
El exploit, que se confirmó por primera vez durante la competencia de piratería de Berlín PWN2OWN en febrero, fue originalmente una exploit de «día cero», lo que significa un ataque cibernético dirigido a una vulnerabilidad de software previamente desconocida, una que los proveedores habían tenido cero días para parches.
Microsoft había parcheado el 8 de julio la hazaña que había sido compartida en la Conferencia de Berlín. El exploit original fue replicado y compartido en X por un tercero pocos días antes de que comenzaran los ataques masivos.
En una actualización del 29 de julio, Eye Security contó más de 8,000 sistemas sin parches que quedaban expuestos en línea.
Eye Security confirmó que una ola inicial de ataques había ocurrido el 17 de julio como una posible fase de prueba, y la primera ola de ataques ampliamente exitosos se llevó a cabo alrededor de las 2 de la tarde, la hora del este el 18 de julio. Una segunda ola siguió a la mañana siguiente, y múltiples olas siguieron a partir del 21 de julio.
Microsoft reveló en una alerta del 19 de julio a los clientes que una vulnerabilidad de SharePoint estaba siendo explotada y dio orientación sobre cómo evitar estos ataques cibernéticos. En particular, la exploit afectó a los servidores de SharePoint locales que están establecidos para llegar al final de su ciclo de servicio en 2026. Las versiones en línea de SharePoint empresariales no se vieron afectadas.
Los investigadores dijeron que las infecciones continuaron aumentando incluso después de que Microsoft lanzó parches posteriores, lo que sugiere que los sistemas infectados y parchados aún son vulnerables.
«Un parche solo no elimina a un atacante que ya está adentro. La demora entre la explotación y la remediación puede ser devastador, especialmente para las organizaciones medianas sin detección de amenazas las 24 horas», dijo Hensen en el blog.
Las ondas posteriores de ataques también se ampliaron en objetivos, lo que sugiere nuevos atacantes más allá de la operación inicial de inteligencia patrocinada por el estado chino.
«En incidentes como estos, no es raro ver un cambio rápido: una vez que una exploit se vuelve pública y los detalles técnicos comienzan a circular, otros actores estatales y no estatales tienden a seguir. Eso incluye grupos ciberdelincuentes con motivos muy diferentes, especialmente aquellos centrados en la ganancia financiera», escribió Hensen en el blog de seguridad ocular.
Hensen le dijo a The Epoch Times por correo electrónico que una vez que el exploit se hizo público, la seguridad ocular observó «signos de actividad oportunista por parte de actores menos sofisticados».
«Observamos un aumento de la escaneo masivo, más intentos de explotación automatizados y un cambio de objetivos principalmente gubernamentales para incluir empresas de tamaño medio», dijo Hensen.
Las operaciones de inteligencia a menudo afectan a las grandes organizaciones primero, y las organizaciones medianas pueden estar expuestas en ondas posteriores, según los investigadores, quienes esperan que se abuse de la exploit en las próximas semanas antes de que las organizaciones hayan parcheado y seguido las mejores prácticas para asegurar sus sistemas, como las claves de las máquinas rotativas.
«Parchear solo no es suficiente. Aconsejamos ejecutar investigaciones forenses completas, revisar y restablecer credenciales, monitorear los indicadores de compromiso y preservar evidencia de investigación», dijo Hensen.
