Data Governance Latam
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

Piratas informáticos chinos accedieron a cuentas de correo electrónico Exchange del gobierno de EE.UU.

Un grupo de piratas informáticos chinos ha accedido a las cuentas de correo electrónico de más de dos docenas de organizaciones de todo el mundo, incluidas agencias gubernamentales de Estados Unidos y Europa Occidental, según Microsoft.

Los ataques se han atribuido a un grupo de amenazas rastreado como Storm-0558, que se cree que es un equipo de ciberespionaje centrado en la recopilación de información sensible mediante la violación de los sistemas de correo electrónico.

Microsoft empezó a investigar estos ataques el 16 de junio de 2023, tras recibir informes de clientes sobre una actividad inusual en el correo electrónico.

La empresa descubrió que, a partir del 15 de mayo de 2023, los actores de la amenaza Storm-0558 lograron acceder a cuentas de Outlook pertenecientes a unas 25 organizaciones y a algunas cuentas de consumidores probablemente conectadas a estas organizaciones.

Sin embargo, Microsoft no comunicó qué organizaciones, organismos gubernamentales o países se vieron afectados en estas filtraciones de correo electrónico.

Para ello, los atacantes utilizaron tokens de autenticación falsificados con la ayuda de una clave de firma de consumidor de cuenta Microsoft (MSA) robada.

«Las investigaciones de Microsoft determinaron que Storm-0558 obtuvo acceso a cuentas de correo electrónico de clientes mediante Outlook Web Access en Exchange Online (OWA) y Outlook.com falsificando tokens de autenticación para acceder al correo electrónico de los usuarios», dijo Microsoft en una entrada de blog publicada a última hora de la tarde del martes.

«El actor utilizó una clave MSA adquirida para falsificar tokens de acceso a OWA y Outlook.com. Las claves MSA (consumidor) y Azure AD (empresa) se emiten y gestionan desde sistemas separados y sólo deben ser válidas para sus respectivos sistemas. El actor explotó un problema de validación de tokens para hacerse pasar por usuarios de Azure AD y obtener acceso al correo empresarial.»

Microsoft agregó que no encontró evidencia que indicara ningún acceso no autorizado adicional después de que «completó la mitigación de este ataque».

El incidente fue reportado a Microsoft por funcionarios del gobierno de Estados Unidos el mes pasado tras el descubrimiento de un acceso no autorizado a los servicios de correo electrónico basados en la nube de Microsoft.

ARTÍCULOS RELACIONADOS

Big HeadZi zoom

OPINIÓN

Kaspersky anticipa para 2026 Ciberamenazas Financieras impulsadas por IA y un Auge de Fraudes dirigidos a Pagos Móviles

Multa récord de la AEPD a AENA: 10 millones de euros por reconocimiento facial sin evaluación de impacto válida

Amazon vs. Perplexity: cuando las plataformas cierran las puertas a los agentes de IA que los usuarios necesitan

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.

SABER MÁS
Logo Ciber Seguridad Latam Blanco
X-twitter Linkedin Whatsapp Facebook Instagram Youtube

© 2022 Ciberseguridad LATAM. All rights reserved.

Diseño y Programación Estudio UMO