Artículos de Ciberseguridad en Español

Todo es lo mismo pero siempre encontramos un punto diferente.

El ataque a la cadena de suministro de SolarWinds golpeó al gobierno de EE. UU. Y a FireEye

El ataque a la cadena de suministro de SolarWinds golpeó al gobierno de EE. UU. Y a FireEye

Durante el fin de semana, Reuters , el  Washington Post  y el  Wall Street Journal  informaron que los hackers atacarón a la cadena de suministro de SolarWinds del gobierno y que habían atacado a funcionarios estadounidenses. Según informes de los medios, como resultado de esta operación, el Departamento del Tesoro de los Estados Unidos y la Administración Nacional de Información y Telecomunicaciones del Departamento de Comercio de los Estados Unidos se vieron comprometidos.

Poco después de estas publicaciones, representantes de la compañía FireEye publicaron su propio informe sobre el incidente. Según los investigadores, los atacantes hackearon el proveedor de software SolarWinds y luego proporcionaron al producto Orion una actualización maliciosa. Debido a este compromiso , el propio FireEye sufrió , como escribimos la semana pasada.

Los analistas de Microsoft también han confirmado el compromiso de SolarWinds, que ya ha enviado una advertencia y una lista de verificación de contramedidas a sus clientes en caso de compromiso.

El Washington Post cita sus propias fuentes, según las cuales muchas otras agencias gubernamentales en los Estados Unidos se vieron afectadas por la versión maliciosa de Orion. Reuters, a su vez, escribe que el incidente se consideró tan grave que se convocó una reunión de emergencia del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca durante el fin de semana.

Fuentes del Washington Post vinculan este ataque con el grupo de piratas informáticos de habla rusa APT29 (también conocido como Cozy Bear and Dukes), que, según los expertos, opera bajo los auspicios de las autoridades rusas.

Los expertos de FireEye no escriben nada sobre APT29 y su posible atribución, en cambio, la compañía asignó al grupo un nombre en clave neutral UNC2452. Además, la compañía cree que este ataque no tuvo como objetivo específico a Estados Unidos:

“Esta campaña está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo. Las víctimas incluyeron empresas gubernamentales, de consultoría, tecnología, telecomunicaciones y mineras en América del Norte, Europa, Asia y Medio Oriente. Esperamos que en el futuro haya información sobre otras víctimas en otros países del mundo y sectores ”, escriben analistas de FireEye.

Los representantes de SolarWinds ya publicaron ayer un comunicado de prensa admitiendo el   pirateo de la plataforma Orion, diseñada para monitoreo y control centralizados. Normalmente, Orion se utiliza en grandes redes para rastrear todos los recursos de TI, como servidores, estaciones de trabajo, teléfonos móviles y dispositivos de IoT.

Actualmente se confirma que las versiones 2019.4-2020.2.1 que se lanzaron entre marzo de 2020 y junio de 2020 estaban infectadas con malware. El 15 de diciembre de 20202, los desarrolladores planean lanzar la actualización 2020.2.1 HF 2, que está destinada a «reemplazar el componente comprometido».

FireEye ha nombrado al malware detectado SUNBURST y ya ha publicado un informe técnico detallado , junto con las reglas para su detección. Microsoft llamó al malware Solorigate y Defender ya recibió las actualizaciones correspondientes.

El ataque a la cadena de suministro de SolarWinds golpeó al gobierno de EE. UU. Y a FireEye

Los expertos de la Agencia de Protección de Infraestructura y Ciberseguridad (DHS CISA) del Departamento de Seguridad Nacional ya han preparado sus propias instrucciones para que las agencias gubernamentales detecten y estudien los sistemas comprometidos por SUNBURST.

A %d blogueros les gusta esto: