Artículos de Ciberseguridad en Español

Todo es lo mismo pero siempre encontramos un punto diferente.

SolarWinds Hack afecta a la Administración Nacional de Seguridad Nuclear de EE. UU. Y a Microsoft

SolarWinds Hack afecta a la Administración Nacional de Seguridad Nuclear de EE. UU. Y a Microsoft

A principios de esta semana  ,  un ataque masivo a la cadena de suministro afectó a SolarWinds y sus clientes. El hecho es que piratas informáticos desconocidos han comprometido la plataforma Orion diseñada para la supervisión y el control centralizados. Normalmente, Orion se utiliza en grandes redes para rastrear todos los recursos de TI, como servidores, estaciones de trabajo, teléfonos móviles y dispositivos de IoT.

Las versiones de Orion 2019.4-2020.2.1, lanzadas entre marzo de 2020 y junio de 2020, fueron infectadas con el malware SUNBURST (también conocido como Solorigate). Microsoft ,  FireEye  y la Agencia de Protección de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional ya han publicado informes detallados sobre esta amenaza   ( DHS CISA ).

Entre los 300.000 clientes de la empresa, se sabe que solo 33.000 han utilizado Orion, y todos ellos ya han sido notificados del incidente. Al mismo tiempo, según SolarWinds, se instaló una versión infectada de la plataforma Orion en 18.000 clientes.

Ayer se agregaron varios nombres importantes a la lista de empresas y agencias gubernamentales afectadas. Entonces, resultó que Microsoft, que desde el principio ha estado involucrado activamente en la investigación del incidente, también se vio comprometido a través de versiones infectadas de Orion. Los representantes del gigante de las tecnologías de la información dicen que han encontrado versiones maliciosas de Orioan en sus sistemas, pero no han encontrado ningún signo de actividad de piratas informáticos:

“Al igual que otros clientes de SolarWinds, ahora estamos buscando activamente indicadores de la actividad de estos atacantes y podemos confirmar que encontramos binarios de Solar Winds maliciosos en nuestro entorno que ya hemos aislado y eliminado. No encontramos evidencia de que terceros tuvieran acceso a nuestros servicios de fabricación o datos de clientes. Nuestra investigación en curso no ha revelado absolutamente ningún indicio de que nuestros sistemas estuvieran siendo utilizados para atacar a otras [empresas] ”, dijo Microsoft.

Al mismo tiempo, Microsoft dijo que ya ha identificado a más de 40 víctimas entre sus clientes que han instalado versiones troyanizadas de Orion. Fue posible detectar estos compromisos gracias a los datos recopilados por Microsoft Defender. Según la compañía, el 80% de todas las organizaciones afectadas se encuentran en los Estados Unidos, y el resto se encuentra disperso en otros siete países, a saber, Canadá, México, Bélgica, España, Reino Unido, Israel y los Emiratos Árabes Unidos.

SolarWinds Hack afecta a la Administración Nacional de Seguridad Nuclear de EE. UU. Y a Microsoft

Además, el sector público es solo una pequeña parte de la lista completa de víctimas. Así, el 44% de las víctimas son empresas de TI (desarrolladores de software y proveedores de equipos).

SolarWinds Hack afecta a la Administración Nacional de Seguridad Nuclear de EE. UU. Y a Microsoft

Además, Microsoft dice que los ataques aún están en curso y los piratas informáticos están tratando de ingresar a nuevas empresas, a pesar de que el incidente se hizo público y se está investigando activamente.

También se supo que el compromiso de SolarWinds afectó a la Administración Nacional de Seguridad Nuclear de EE. UU. (NNSA). Según The Register , se ha observado actividad de red sospechosa en las redes de los Laboratorios Nacionales FEC, Sandia y Los Alamos (en Nuevo México y Washington), la Autoridad de Seguridad en el Transporte de la NNSA y la oficina regional del DOE en Richland.

«Por el momento, la investigación ha demostrado que el malware se aisló en las redes comerciales y no afectó el desempeño de las funciones básicas de seguridad nacional, incluida la Administración Nacional de Seguridad Nuclear», dijo el Ministerio de Energía a los periodistas.

Por lo tanto, la lista actual de víctimas confirmadas es la siguiente:

  • La empresa estadounidense de seguridad de la información FireEye;
  • Departamento del Tesoro de los Estados Unidos;
  • Administración Nacional de Informática y Telecomunicaciones (NTIA) del Departamento de Comercio de los Estados Unidos;
  • Institutos Nacionales de Salud, Departamento de Salud de EE. UU. (NIH);
  • La Agencia de Seguridad Cibernética y Protección de la Infraestructura del Departamento de Seguridad Nacional de los Estados Unidos (DHS CISA);
  • Departamento de Seguridad Nacional (DHS);
  • Departamento de estado de los Estados Unidos;
  • Administración Nacional de Seguridad Nuclear de EE. UU. (NNSA) ( nuevo );
  • Departamento de Energía de Estados Unidos ( nuevo );
  • tres estados de EE. UU. ( nuevo );
  • Austin, Texas ( nuevo );
  • Microsoft ( nuevo ).

Permítanme recordarles que anteriormente Microsoft, en cooperación con GoDaddy y otras compañías asociadas, activó una especie de «interruptor» de emergencia para malware SUNBURST y se hizo cargo del  dominio avsvmcloud [.] Com, que servía como servidor de comando y control para malware. El caso es que este caso es algo similar a la situación con el sensacional ransomware WannaCry: al comienzo de su operación, SUNBURST se refiere a la dirección IP del dominio codificado avsvmcloud [.] Com, y si este intento de conexión falla, el malware, de hecho, desactivado. Sin embargo, los expertos señalaron que los atacantes podrían haber logrado introducir otro malware en las redes de las empresas afectadas, por lo que activar el «interruptor», lamentablemente, es solo la mitad de la batalla.

A %d blogueros les gusta esto: