Un ataque informático aprovecha una brecha de seguridad desconocida en el software SharePoint de Microsoft.
Una amplia operación de ciberespionaje dirigida contra Microsoft comprometió a unas 100 empresas y organizaciones hasta este fin de semana, según informaron el lunes dos de las empresas que ayudaron a descubrir la campaña.
Microsoft emitió el sábado una alerta sobre «ataques activos» a servidores SharePoint autoalojados, ampliamente utilizados por empresas y organizaciones gurbenamentales para compartir documentos y colaborar internamente. Las instancias de SharePoint que se ejecutan en servidores de Microsoft no se vieron afectadas.
Estos ataques, denominados «día cero» aprovechan una debilidad digital no revelada previamente y permiten a los espías penetrar en servidores vulnerables y potencialmente instalar una puerta trasera para asegurar el acceso continuo a las organizaciones víctimas.
Eye Security, fue la empresa de ciberseguridad con sede en los Países Bajos que descubrió la campaña de piratería en un ataque dirigido contra uno de sus clientes. Tras un escaneo de Internet realizado conjuntamente con la Fundación Shadowserver reveló que casi 100 víctimas en total habían sufrudo este ataque.
No se han identificado las organizaciones afectadas, aunque ya se ha notificado a las autoridades nacionales pertinentes, y es que entre las víctimas había organizaciones gubernamentales.
Hasta el momento se desconoce si el espionaje es obra de un solo hacker o de un grupo de hackers.
Microsoft dijo que había «proporcionado actualizaciones de seguridad y alienta a los clientes a instalarlas», según un comunicado enviado por correo electrónico.
Aunque no está claro quién está detrás del ataque en curso, se ha difundido que al menos algunos de los ataques provienen de un hacker vinculado con China, a lo que la Embajada de China en Washington niega sistemáticamente haber llevado a cabo operaciones de piratería.
El FBI declaró el domingo que estaba al tanto de los ataques y que estaba trabajando en estrecha colaboración con sus socios federales y del sector privado, pero no ofreció más detalles. El Centro Nacional de Ciberseguridad de Gran Bretaña declaró en un comunicado que tenía conocimiento de un número limitado de objetivos en el Reino Unido, y que la campaña de ataques parecía estar dirigida a un grupo reducido de organizaciones gubernamentales.
El número de objetivos potenciales sigue siendo enorme.
Según datos de Shodan, un motor de búsqueda que ayuda a identificar equipos conectados a internet, más de 8000 servidores en línea podrían, en teoría, haber sido comprometidos por hackers. Shadowserver estima la cifra en poco más de 9000, aunque advierte que la cifra es probablemente mucho mayor.
Entre esos servidores se incluyen importantes empresas industriales, bancos, auditores, compañías de atención sanitaria y varias entidades gubernamentales internacionales y a nivel estatal de Estados Unidos.