Un grupo de hackers chinos ataca a una empresa de diseño de armas nucleares. La razón está en una laguna de seguridad de Microsoft

La suscripción a Microsoft 365, que sustituye al archiconocido paquete de la suite ofimática Office, incluye una amplia variedad de programas de software más allá de los populares Word, Excel y PowerPoint. Otro de ellos, aunque algo más desconocido para el público general, es SharePoint, ya que está dirigido a empresas y organizaciones.

La función de SharePoint es ayudar a las empresas a organizar, almacenar, compartir y acceder a información desde cualquier dispositivo con un navegador web. Se utiliza sobre todo en los entornos corporativos con el objetivo de mejorar la colaboración interna y la gestión de documentos. Su punto fuerte, como es lógico, es la integración con el resto de programas informáticos de Microsoft.

Si bien la compañía fundada por Bill Gates se toma en serio la seguridad de sus productos, lanzando actualizaciones de software cada cierto tiempo para parchear vulnerabilidades y solucionar errores, ningún sistema es perfecto. Así que hackers chinos aprovecharon una debilidad de Sharepoint para atacar a un grupo estadounidense de diseño de armas nucleares. La tragedia está servida.

A pesar de los parches de seguridad, los hackers han encontrado métodos para seguir atacando

Microsoft ha informado, a través de una detallada publicación de su blog, que hackers respaldados por el gobierno de China han explotado vulnerabilidades de seguridad en SharePoint para atacar a algunas empresas, agencias gubernamentales y organizaciones privadas de todo el mundo, incluida la Administración Nacional de Seguridad Nuclear de los Estados Unidos de América (NNSA).

Al menos, Microsoft habría identificado a tres grupos de piratas informáticos vinculados al país asiático. Se cree que estos grupos son los conocidos como Linen Typhoon, Violet Typhoon y Storm-2603. Las vulnerabilidades de SharePoint que aprovecharon están relacionadas, principalmente, con los clientes que utilizan el software en sus servidores internos, en lugar de los servicios en la nube de Microsoft.

Expertos en ciberseguridad afirman que las filtraciones han estado ocurriendo desde principios de julio. Adam Meyers, vicepresidente sénior de CrowdStrike, declaró: "Al principio, la explotación se asemejaba a una actividad patrocinada por el gobierno y, luego, se extendió aún más, incluyendo ataques informáticos similares a los de China". Aseguró que CrowdStrike aún está analizando el alcance de la campaña.

Microsoft afirma que sus investigaciones siguen en curso. No podría ser de otra manera, ya que uno de los ataques más preocupantes es el de la NNSA, que gestiona el diseño y el mantenimiento de las armas nucleares de Estados Unidos. Una fuente familiarizada con el caso confirmó la filtración, pero afirmó que no se robó información clasificada.

Un portavoz del Departamento de Energía, que también se vio afectado por las filtraciones, afirmó que la explotación comenzó el 18 de julio, pero que los daños fueron limitados gracias al uso de los servicios en la nube de Microsoft. "Nuestros sistemas cuentan con múltiples niveles de seguridad". Bloomberg informó de que los hackers también se infiltraron en los sistemas del Departamento de Educación de Estados Unidos, el Departamento de Hacienda de Florida y la Asamblea General de Rhode Island.

A pesar de que Microsoft lanzó parches para cerrar las vulnerabilidades de seguridad, los hackers han encontrado métodos alternativos para evitarlas y seguir atacando. Eye Security, empresa de ciberseguridad involucrada en la investigación, afirma que las vulnerabilidades permitieron a los hackers robar claves de autenticación, suplantar la identidad de los usuarios y permanecer dentro de los sistemas incluso después de aplicar actualizaciones y reinicios.