Microsoft ha acusado a piratas informáticos vinculados al Estado chino de explotar un agujero de seguridad crítico en el software del gigante tecnológico australiano Atlassian para introducirse en los sistemas de sus clientes.
Atlassian ha otorgado al fallo de seguridad de su software Confluence, una herramienta que las empresas utilizan para centralizar la información, la máxima calificación de gravedad posible porque puede ser explotado de forma anónima y remota.
"Tenemos pruebas que sugieren que un actor conocido de un Estado-nación está explotando activamente [la vulnerabilidad]", dijo Atlassian a sus clientes el miércoles.
La división de ciberseguridad de Microsoft dijo que había detectado un "actor de amenaza de estado-nación" conocido como Storm-0062, DarkShadow u Oro0lxy explotando la vulnerabilidad desde el 14 de septiembre.
Microsoft ya había identificado anteriormente a ese grupo como afincado en China y vinculado al gobierno nacional. Aunque Atlassian no ha querido dar el nombre del país sospechoso, ha subrayado que está colaborando estrechamente con Microsoft.
Los piratas informáticos atacan habitualmente a empresas como Atlassian que fabrican software de uso generalizado porque les da acceso a muchas otras empresas que posteriormente pueden ser objeto de espionaje industrial, inteligencia estatal o ransomware.
El gobierno australiano ha estado trabajando para reforzar la ciberseguridad del país tras los hackeos de Optus y Medibank el año pasado, nombrando un nuevo coordinador para este asunto.
Pero los problemas de seguridad como el fallo Confluence, conocido como vulnerabilidad de "día cero", son notoriamente difíciles de abordar porque son desconocidos hasta que se explotan.
Cómo funciona
El agujero de seguridad, del que Atlassian informó por primera vez el 4 de octubre, permite a los piratas informáticos acceder a los sistemas Confluence y crear cuentas de administrador.
Esto podría permitirles acceder a información sensible contenida en el propio Confluence o, si el sistema tiene detalles de la configuración de TI más amplia de la víctima, ejecutar otros hackeos.
La versión de Confluence que se ejecuta en la nube de Atlassian no está afectada. La empresa ha instado a los clientes que utilicen versiones anteriores de Confluence en sus propios sistemas a que actualicen inmediatamente a versiones posteriores que no presenten la vulnerabilidad.
La embajada china en Canberra no respondió de inmediato a una solicitud de comentarios, pero el gobierno chino niega desde hace tiempo que tenga ningún papel en la piratería informática en el extranjero.
Una portavoz de Atlassian dijo que animaba a los clientes a compartir pruebas de cualquier sistema comprometido para apoyar su respuesta.
"Nuestra prioridad es la seguridad de las instancias de nuestros clientes durante esta vulnerabilidad crítica, y estamos colaborando con socios de inteligencia de amenazas líderes en la industria, como Microsoft, para obtener información adicional que pueda ayudar a los clientes a responder a la vulnerabilidad", dijo la portavoz.
Pero Atlassian también ha dicho que no puede confirmar si el sistema Confluence de un cliente ha sido hackeado, en lugar de instarles a buscar pistas de que podría haber ocurrido.
"Si se encuentra alguna evidencia, se debe asumir que su instancia ha sido comprometida y evaluar el riesgo de efectos de flujo", dice el consejo de Atlassian a los clientes.
Si los hackers han entrado en un sistema Confluence, dice Atlassian, pueden "realizar cualquier número de acciones sin restricciones", incluyendo el robo de contenido, credenciales del sistema y la instalación de pequeñas piezas de código malicioso llamadas plug-ins.
Sobre Atlassian
El software de colaboración de Atlassian como Jira, Confluence y Trello, ayuda a los equipos a organizarse, debatir y completar el trabajo compartido.
Fuente: somoslibres
