Vulnerabilidades involucran a instituciones y dependencias que trabajan con el software colaborativo Zimbra. Este tipo permitió ya que el grupo hacktivista Guacamaya pudiera extraer 6 terabytes de información de la Secretaría de la Defensa Nacional.
La unidad de investigación de Silikin emitió una alerta por la aproximación del grupo de ciberataque norcoreano Lazarus, hacia objetivos que utilizan el sistema de correo Zimbra, entre estos, dependencias e instituciones del gobierno mexicano.
Suscríbete a nuestro newsletter
Este tipo de vulnerabilidades ya permitieron que el grupo hacktivista Guacamaya pudiera extraer 6 terabytes de información de la Secretaría de la Defensa Nacional de México, según informó Silikin en un comunicado.
Lazarus está llevando a cabo una amplia campaña de recopilación de información y de inteligencia patrocinada y dirigida por Corea del Norte. En principio, estos ataques se han dirigido hacia organizaciones de investigación médica, sector energético, fabricantes de tecnología, sector defensa y sector de ingeniería química, con fines de espionaje, pero las capacidades del grupo criminal los están llevando a identificar y vulnerar objetivos que utilizan el sistema de correo Zimbra y que no han instalado los parches de seguridad emitidos por el mismo fabricante.
Lazarus es un grupo de amenazas que data desde 2009, que ha mostrado continuidad en sus ataques y que es respaldado por el gobierno de Corea del Norte. Algunos de los ataques destacados de Lazarus incluyen el robo de información del chip M1 de Apple, así como el robo de US$100 millones en criptomonedas del sistema Horizon Bridge, de la empresa de blockchain Harmony.
¿QUÉ ES ZIMBRA?
Zimbra es un programa colaborativo de aplicaciones entre las cuales ofrece el servicio de correo electrónico, calendario, contactos, documentos, etcétera. Es un sistema basado en la web que está diseñado para la implementación organizacional, con el objetivo principal de integrar una gran cantidad de herramientas de colaboración.
Admite clientes de correo electrónico como Windows Outlook y tiene compatibilidad con sistemas informáticos Windows, Linux y Apple. Además, proporciona sincronización inalámbrica con sistemas operativos de dispositivos móviles como iOS y Android.
La unidad de investigación de SILIKN ha examinado y cotejado los incidentes relacionados con este grupo de atacantes, lo cual ha dado como resultado encontrar actividades que han comenzado a través de un compromiso inicial y una escalada de privilegios, que se logró mediante la explotación de vulnerabilidades conocidas en los servidores de correo Zimbra que no tienen instalados los parches de seguridad.
Con estas acciones, Lazarus ha extraído alrededor de 120 gigabytes de información de los buzones de los servidores, por lo que se estima que este grupo seguirá apuntando hacia verticales de investigación, energía e infraestructura crítica.
La recomendación de Silikin es que estos organismos actúen urgentemente y puedan revisar sus activos tecnológicos, sus respectivos controles, así como gestionar las actualizaciones y parches de seguridad más recientes, las cuales Zimbra ha lanzado y dado a conocer a través de la página web: https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories