Las vulnerabilidades de Microsoft Exchange que permiten a los piratas informáticos apoderarse de los servidores de Microsoft Exchange están siendo atacadas por no menos de 10 grupos avanzados de piratería, seis de los cuales comenzaron a explotarlas antes de que Microsoft lanzara un parche, informaron investigadores el miércoles. Eso plantea una pregunta inquietante: ¿cómo tantos actores de amenazas independientes tenían exploits operativos antes de que las fallas de seguridad se hicieran públicas?
Los investigadores dicen que hasta 100.000 servidores de correo en todo el mundo se han visto comprometidos, y los de la Autoridad Bancaria Europea y el Parlamento noruego se revelaron en los últimos días. Una vez que los atacantes obtienen la capacidad de ejecutar código en los servidores, instalan shells web, que son ventanas basadas en navegador que proporcionan un medio para emitir comandos y ejecutar código de forma remota.
Cuando Microsoft emitió parches de emergencia el 2 de marzo, la compañía dijo que las vulnerabilidades estaban siendo explotadas en ataques limitados y dirigidos por un grupo de piratería respaldado por el estado en China conocido como Hafnium. El miércoles, ESET proporcionó una evaluación marcadamente diferente. De los 10 grupos que los productos de ESET han registrado explotando servidores vulnerables, seis de esos APT (abreviatura de actores de amenazas persistentes avanzados) comenzaron a secuestrar servidores mientras Microsoft aún desconocía las vulnerabilidades críticas.
No es frecuente que la llamada vulnerabilidad de día cero sea explotada por dos grupos al unísono, pero sucede. Un día cero bajo el ataque de seis APT simultáneamente, por otro lado, es muy inusual, si no sin precedentes.
“Nuestra investigación en curso muestra que no solo Hafnium ha estado utilizando la vulnerabilidad RCE reciente en Exchange, sino que múltiples APT tienen acceso al exploit, y algunos incluso lo hicieron antes del lanzamiento del parche”, los investigadores de ESET Matthieu Faou, Mathieu Tartare y Thomas Dupuy escribió en una publicación del miércoles. “Todavía no está claro cómo ocurrió la distribución del exploit, pero es inevitable que más y más actores de amenazas, incluidos los operadores de ransomware, tengan acceso tarde o temprano”.
Más que improbable
El misterio se ve agravado por esto: un día después de que Microsoft emitiera los parches, al menos tres APT más se unieron a la refriega. Un día después, se agregó otro a la mezcla. Si bien es posible que esos cuatro grupos aplicaron ingeniería inversa a las soluciones, desarrollaron exploits armados y los implementaron a escala, ese tipo de actividades generalmente lleva tiempo. Una ventana de 24 horas está en el lado corto.
No hay una explicación clara para la explotación masiva por parte de tantos grupos diferentes, lo que deja pocas alternativas a los investigadores además de especular.
“Parecería que, si bien Hafnium usó originalmente los exploits, algo les hizo compartir el exploit con otros grupos en el momento en que Microsoft estaba parcheando las vulnerabilidades asociadas”, dijo Costin Raiu, director del equipo de investigación y análisis global de Kaspersky Lab. , me dijo. “Esto podría sugerir un cierto grado de cooperación entre estos grupos, o también puede sugerir que los exploits estaban disponibles para la venta en ciertos mercados y que la posibilidad de que se repararan resultó en una caída del precio, lo que permitió que otros también los adquirieran”.
Juan Andrés Guerrero-Saade, investigador principal de amenazas de la firma de seguridad SentinelOne, llegó en gran medida a la misma evaluación.
“La idea de que seis grupos provenientes de la misma región descubran de forma independiente la misma cadena de vulnerabilidades y desarrollen el mismo exploit es más que improbable”, escribió en un mensaje directo. “La explicación más simple es que hay (a) un vendedor de exploits en común, (b) una fuente desconocida (como un foro) disponible para todos estos, o (c) una entidad común que organiza estos diferentes grupos de piratería y les proporciona la explotar para facilitar sus actividades (por ejemplo, el Ministerio de Seguridad del Estado de China)”.
Nombrar nombres
Los seis grupos que ESET identificó explotando las vulnerabilidades cuando aún eran de día cero son:
- Hafnio: El grupo, que según Microsoft es patrocinado por el estado y tiene su sede en China, estaba explotando las vulnerabilidades a principios de enero.
- Tick (también conocido como Bronze Butler y RedBaldKnight): El 28 de febrero, dos días antes de que Microsoft emitiera parches, este grupo usó las vulnerabilidades para comprometer el servidor web de una empresa de servicios de TI de Asia oriental. Tick ha estado activo desde 2023 y se dirige principalmente a organizaciones en Japón, pero también en Corea del Sur, Rusia y Singapur.
- LuckyMouse (APT27 y Emissary Panda): El 1 de marzo, este grupo de ciberespionaje conocido por haber violado múltiples redes gubernamentales en Asia Central y Medio Oriente comprometió el servidor de correo electrónico de una entidad gubernamental en Medio Oriente.
- Calypso (con lazos con Xpath): El 1 de marzo, este grupo comprometió los servidores de correo electrónico de entidades gubernamentales en el Medio Oriente y América del Sur. En los días siguientes, se centró en organizaciones de África, Asia y Europa. Calypso apunta a organizaciones gubernamentales en estas regiones.
- Websiic: El 1 de marzo, este APT, que ESET nunca antes había visto, apuntó a servidores de correo pertenecientes a siete empresas asiáticas en los sectores de TI, telecomunicaciones e ingeniería y un organismo gubernamental en Europa del Este.
- Winnti (también conocido como APT 41 y Bario): Apenas unas horas antes de que Microsoft lanzara los parches de emergencia el 2 de marzo, los datos de ESET muestran que este grupo comprometió los servidores de correo electrónico de una empresa petrolera y una empresa de equipos de construcción, ambas con sede en el este de Asia.
ESET dijo que vio a otros cuatro grupos explotar las vulnerabilidades en los días inmediatamente posteriores al lanzamiento del parche de Microsoft el 2 de marzo. Dos grupos desconocidos comenzaron el día después. Otros dos grupos, conocidos como Tonto y Mikroceen, comenzaron el 3 y 4 de marzo, respectivamente.
China y más allá
Joe Slowik, investigador sénior de seguridad de la firma de seguridad DomainTools, publicó su propio análisis el miércoles y señaló que tres de las APT que ESET vio explotando las vulnerabilidades antes de los parches (Tick, Calypso y Winnti) se han relacionado previamente con piratería patrocinada por La República Popular de China. Otros dos APT que ESET vio explotar las vulnerabilidades un día después de los parches, Tonto y Mikroceen, también tienen vínculos con la República Popular China, dijo el investigador.
Slowik produjo la siguiente línea de tiempo:
La línea de tiempo incluye tres grupos de explotación que la firma de seguridad FireEye ha dicho que estaban explotando las vulnerabilidades de Exchange desde enero. FireEye se refirió a los grupos como UNC2639, UNC2640 y UNC2643 y no vinculó los clústeres a ningún APT conocido ni dijo dónde estaban ubicados.
Debido a que diferentes empresas de seguridad usan diferentes nombres para los mismos actores de amenazas, no está claro si los grupos identificados por FireEye se superponen con los que ve ESET. Si fueran distintos, la cantidad de actores de amenazas que explotan las vulnerabilidades de Exchange antes de un parche sería aún mayor.
Una gama de organizaciones bajo asedio
El seguimiento de las APT se produjo cuando el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad emitieron un aviso el miércoles que decía que los grupos de amenazas están explotando organizaciones que incluyen gobiernos locales, instituciones académicas, organizaciones no gubernamentales y entidades comerciales en una variedad de industrias, que incluyen agricultura, biotecnología, aeroespacial, defensa, servicios legales, servicios públicos de energía y farmacéutica.
“Esta orientación es consistente con la actividad de orientación anterior de los ciberactores chinos”, indicó el aviso. Con la firma de seguridad Palo Alto Networks informando el martes que aproximadamente 125,000 servidores Exchange en todo el mundo eran vulnerables, el llamado de los funcionarios de CISA y FBI para que las organizaciones parchearan tomó una medida de urgencia adicional.
Tanto ESET como la empresa de seguridad Red Canary han visto servidores de Exchange explotados que estaban infectados con DLTMiner, una pieza de malware que permite a los atacantes extraer criptomonedas utilizando la potencia informática y la electricidad de las máquinas infectadas. Sin embargo, ESET dijo que no estaba claro si los actores detrás de esas infecciones en realidad habían explotado las vulnerabilidades o simplemente se habían apoderado de servidores que ya habían sido pirateados por otra persona.
Dado que muchos de los exploits previos al parche provienen de grupos vinculados al gobierno chino, la hipótesis de Guerrero-Saade de SentinalOne, que una entidad de la República Popular China proporcionó los exploits a varios grupos de piratería antes de los parches, parece ser la explicación más simple. Esa teoría está respaldada por otros dos grupos relacionados con la República Popular China, Tonto y Mikroceen, que se encuentran entre los primeros en explotar las vulnerabilidades luego del lanzamiento de emergencia de Microsoft.
Por supuesto, es posible que la media docena de APT que explotaron las vulnerabilidades cuando todavía eran días cero descubrieran las vulnerabilidades de forma independiente y desarrollaran exploits armados. Si ese es el caso, es probable que sea el primero y, con suerte, el último.