Microsoft dijo que más de 40 de sus clientes tuvieron sus redes infiltradas por piratas informáticos después del ataque a la cadena de suministro de SolarWinds después de que instalaron versiones traseras de la plataforma de monitoreo de TI Orion.
El fin de semana pasado, FireEye descubrió que un grupo de piratas informáticos (rastreados como UNC2452 o Dark Halo) violaron SolarWinds y utilizaron su mecanismo de actualización automática para implementar una puerta trasera en los sistemas de los clientes.
La puerta trasera, rastreada como Solarigate (Microsoft) o Sunburst (FireEye), se implementó en las redes de aproximadamente 18,000 clientes de acuerdo con una presentación de SolarWinds 8K SEC.
El grupo APT detrás de esta campaña, sospechoso de ser el APT29 patrocinado por el estado ruso (también conocido como Cozy Bear), mantuvo su persistencia en las redes de organizaciones pirateadas durante largos períodos de tiempo según CISA.
La infección se propagó a víctimas de ocho países
Después de que las actualizaciones maliciosas de Orion se instalaron en los sistemas de miles de clientes de SolarWinds, el presidente de Microsoft, Brad Smith, dijo que el presunto grupo de piratas informáticos ruso pudo “escoger y elegir” objetivos de interés de organizaciones ya comprometidas.
Hasta ahora, basándose en la información recopilada durante la investigación de la campaña de piratería que aún está en curso, Microsoft ha notificado a las más de 40 organizaciones que fueron “atacadas con más precisión y comprometidas a través de medidas adicionales y sofisticadas”.
El 80% de las víctimas identificadas se encuentran en los Estados Unidos y el 20% restante se distribuye en otros siete países, incluidos Canadá, México, Bélgica, España, Reino Unido, Israel y los Emiratos Árabes Unidos.
Un mapa de calor de todos los clientes de Microsoft que se vieron afectados por el ataque a la cadena de suministro de SolarWinds después de instalar la puerta trasera rastreada como Solarigate o Sunburst a través del mecanismo de actualización automática de Orion comprometido.
“Como esto deja en claro, este aspecto del ataque creó una vulnerabilidad en la cadena de suministro de importancia casi mundial, que llegó a muchas capitales nacionales importantes fuera de Rusia”, dijo Smith. “Esto también ilustra el elevado nivel de vulnerabilidad en Estados Unidos”.
“Esto ya ha dado lugar a posteriores informes noticiosos de penetración en múltiples partes del gobierno de los Estados Unidos. Todos deberíamos estar preparados para historias sobre víctimas adicionales en el sector público y otras empresas y organizaciones”.
La cantidad de organizaciones pirateadas aumentará
La lista inicial de clientes de Microsoft pirateados en esta campaña de espionaje en curso incluye organizaciones de una amplia gama de verticales, con un 44% de ellas empresas de tecnología de la información y un 18% agencias gubernamentales.
Los objetivos del gobierno de EE. UU. Infringidos después del hack de SolarWinds coordinan los sectores de finanzas, seguridad nacional, salud y telecomunicaciones, mientras que las víctimas de los contratistas del gobierno se centran en apoyar a las organizaciones de defensa y seguridad nacional.
Lo cierto es que, tras la investigación en curso de estos ataques, “el número y la ubicación de las víctimas seguirá creciendo”.
“Esto no es ‘espionaje como de costumbre’, incluso en la era digital”, dijo Smith. “En cambio, representa un acto de imprudencia que creó una seria vulnerabilidad tecnológica para Estados Unidos y el mundo.
“En efecto, esto no es solo un ataque a objetivos específicos, sino a la confianza y confiabilidad de la infraestructura crítica del mundo para hacer avanzar la agencia de inteligencia de una nación.
“Si bien el ataque más reciente parece reflejar un enfoque particular en Estados Unidos y muchas otras democracias, también proporciona un poderoso recordatorio de que las personas en prácticamente todos los países están en riesgo y necesitan protección independientemente de los gobiernos bajo los que vivan”.
Varias agencias gubernamentales de EE. UU. Confirmadas como comprometidas
Microsoft también confirmó ayer que fueron pirateados en los ataques en curso de SolarWinds, pero negó los informes de que su software se vio comprometido como parte de un ataque a la cadena de suministro para infectar a los clientes.
El FBI, CISA y ODNI también confirmaron oficialmente el hackeo de múltiples redes del gobierno de EE. UU. En una declaración conjunta.
Las víctimas de estos ataques confirmados hasta ahora son FireEye, Microsoft, el Tesoro de EE. UU., NTIA de EE. UU., Departamento de Seguridad Nacional de EE. UU., Administración de Información y Telecomunicaciones (NTIA) del Departamento de Comercio de EE. UU., Departamento de Estado de EE. UU., Institutos Nacionales de Salud del Departamento de Salud de EE. UU. Health (NIH), la Agencia de Infraestructura y Ciberseguridad (CISA), la Administración Nacional de Seguridad Nuclear (NNSA) y el Departamento de Energía de EE. UU. (DOE).
“CISA ha determinado que esta amenaza representa un grave riesgo para el gobierno federal y los gobiernos estatales, locales, tribales y territoriales, así como para las entidades de infraestructura crítica y otras organizaciones del sector privado”, dijo la agencia.
La lista de 300.000 clientes de SolarWinds [1, 2] incluye más de 425 empresas estadounidenses de la lista Fortune 500, las diez principales empresas de telecomunicaciones de EE. UU. Y agencias gubernamentales de EE. UU., Incluidas las Fuerzas Armadas de EE. UU., El Pentágono de EE. UU., El Departamento de Justicia de EE. UU., El Departamento de Estado y la NASA. , NSA, Postal Service, NOAA y la Oficina del Presidente de los Estados Unidos, algunas de las cuales ya han sido confirmadas como pirateadas.
