El gobierno de los Estados Unidos y sus principales aliados, los cuales son la Unión Europea, el Reino Unido y la OTAN, atribuyeron formalmente el ciberataque masivo contra los servidores de correo electrónico de Microsoft Exchange a equipos de cibercriminales patrocinados por el Estado y afiliados al Ministerio de Seguridad del Estado (MSS) de la República Popular de China.
En un comunicado emitido por la Casa Blanca el lunes, la administración dijo, «con un alto grado de confianza, que actores cibernéticos maliciosos afiliados al MSS de la RPC llevaron a cabo operaciones de ciberespionaje utilizando las vulnerabilidades de día cero en Microsoft Exchange Server reveladas a principios de marzo de 2021«. El gobierno del Reino Unido acusó a Pekín de un «patrón generalizado de hackeo» y de «cibersabotaje sistémico«.
La amplia campaña de espionaje explotó cuatro vulnerabilidades no descubiertas anteriormente en el software de Microsoft Exchange y se cree que afectó al menos a 30.000 organizaciones en Estados Unidos y a cientos de miles más en todo el mundo (Incluyendo Chile). Microsoft identificó al grupo que estaba detrás del ataque como un actor experto respaldado por el gobierno que operaba desde China, llamado Hafnium.
El Centro Nacional de Ciberseguridad (NCSC) lo calificó como «la intrusión cibernética más importante y extendida contra el Reino Unido y sus aliados» y dijo que era muy probable que el ataque permitiera «adquirir información personal identificable y propiedad intelectual«.
Además, el MSS también fue señalado como el responsable de una serie de actividades cibernéticas maliciosas rastreadas bajo los nombres de «APT40» y «APT31» y el Reino Unido atribuyeron los ataques, según un comunicado de prensa del Centro Nacional de Ciberseguridad del Reino Unido. También emitieron declaraciones de apoyo la OTAN, el Consejo de la Unión Europea, Australia, Japón, Canadá, Letonia, Lituania, Estonia, Eslovenia, Finlandia y Dinamarca.
Momentos después del anuncio de la Casa Blanca, el Departamento de Justicia también presentó cargos formales contra cuatro ciudadanos chinos por su papel en el grupo de amenaza APT40.
Además de ello, la Oficina Federal de Investigación (FBI), la Agencia de Seguridad Nacional (NSA) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos publicaron un aviso conjunto en el que se enumeran más de 50 tácticas, técnicas y procedimientos empleados por APT40 y otros actores chinos patrocinados por el Estado.
Más información:
https://us-cert.cisa.gov/ncas/alerts/aa21-200b
https://us-cert.cisa.gov/ncas/alerts/aa21-200b
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
