Hackers respaldados por un estado-nación obligan a JumpCloud a restablecer claves de API

Hackers de un estado-nación explotaron una vulnerabilidad de hace años para infiltrarse en una agencia federal de Estados Unidos

La firma de gestión de identidad y acceso JumpCloud afirma que ha restablecido las claves de API de sus clientes después de que hackers respaldados por un estado-nación violaran sus sistemas. JumpCloud, una plataforma de directorio que permite a las empresas autenticar, autorizar y gestionar usuarios y dispositivos, informó la semana pasada a sus clientes que había restablecido sus claves de API "por precaución" debido a un incidente de seguridad en curso, aunque no especificado.

En un informe publicado sobre el incidente, JumpCloud dijo que determinó que un actor respaldado por un estado-nación obtuvo acceso no autorizado a sus sistemas y se dirigió a un "conjunto pequeño y específico" de clientes. JumpCloud no ha nombrado al grupo respaldado por el estado, pero afirmó que el actor de amenazas es "sofisticado... con capacidades avanzadas".

Actividad anómala detectada

En sus hallazgos, el CISO de JumpCloud, Bob Chan, dijo que la primera actividad anómala detectada fue el 27 de junio, la cual se remontó a una campaña de spearphishing perpetrada por el actor de amenazas el 22 de junio. En ese momento, la compañía no vio evidencia de impacto en los clientes. Dos semanas después, el 5 de julio, JumpCloud descubrió actividad inusual en su marco de comandos para un pequeño grupo de clientes, revelando que algunos clientes se vieron afectados. Fue entonces cuando la compañía restableció todas las claves de API de administrador y comenzó a notificar a los clientes afectados.

"El análisis también confirmó las sospechas de que el ataque fue extremadamente dirigido y limitado a clientes específicos", dijo Chan. El número exacto de clientes afectados y los tipos de organizaciones atacadas siguen siendo desconocidos. La compañía no ha dicho cómo determinó que los hackers respaldados por un estado-nación estaban detrás de la intrusión y no ha respondido a una solicitud de comentarios.

Mitigación del vector de ataque y cooperación con las autoridades

JumpCloud afirma en su sitio web que proporciona su software a más de 180.000 organizaciones y cuenta con más de 5.000 clientes de pago. Estos clientes incluyen a Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance y Foursquare.

Chan agregó que el vector de ataque utilizado por los hackers respaldados por el estado no nombrado ha sido mitigado. Además, la compañía notificó a las autoridades del ataque y publicó una lista de indicadores de compromiso (IOC) para ayudar a otras organizaciones a identificar ataques similares.

"Continuaremos mejorando nuestras propias medidas de seguridad para proteger a nuestros clientes de futuras amenazas y trabajaremos en estrecha colaboración con nuestros socios gubernamentales e industriales para compartir información relacionada con esta amenaza", dijo Chan.

Aumento de la seguridad cibernética en las agencias federales de Estados Unidos

Este último incidente resalta la necesidad de que las agencias federales de Estados Unidos refuercen sus medidas de seguridad cibernética. Los hackers respaldados por estados-nación han demostrado tener la capacidad de penetrar en sistemas altamente protegidos y robar información confidencial. Es fundamental que las agencias gubernamentales tomen medidas adicionales para proteger sus sistemas y garantizar la seguridad de los datos sensibles.

Además, es esencial que las empresas y organizaciones implementen soluciones de gestión de identidad y acceso sólidas, como JumpCloud, para proteger sus sistemas y datos de posibles amenazas cibernéticas. La autenticación de dos factores, la monitorización continua de la actividad del usuario y la adopción de mejores prácticas de seguridad son cruciales para prevenir intrusiones no autorizadas y garantizar la integridad de los sistemas.

En última instancia, la lucha contra los hackers respaldados por estados-nación es un desafío continuo que requiere una cooperación estrecha entre el sector público y privado. Compartir información sobre amenazas y tácticas, así como colaborar en investigaciones y mitigación de incidentes, es fundamental para proteger la infraestructura crítica y salvaguardar los intereses nacionales. Solo mediante un enfoque conjunto y una vigilancia constante se podrá hacer frente a esta creciente amenaza cibernética.