Software SolarWinds utilizado en múltiples ataques de piratería: lo que necesita saber

Software SolarWinds utilizado en múltiples ataques de piratería: lo que necesita saber

Las agencias de inteligencia de EE. UU. Han dicho que Rusia es responsable de una importante campaña de piratería que golpea a las agencias federales y las principales empresas de tecnología.

Angela Lang / CNET

UN campaña de malware sofisticada atribuido a la inteligencia rusa ha afectado a las agencias locales, estatales y federales en los EE. UU. además de a empresas privadas, incluida Microsoft. Tras el análisis de los investigadores de seguridad en diciembre de que un segundo grupo probablemente estaba usando el software SolarWinds para apuntar a organizaciones, Reuters informó el martes que los funcionarios del gobierno creen que un grupo de presuntos piratas informáticos chinos fue responsable de una serie de violaciones en varias agencias federales.

El presunto pirateo chino fue completamente independiente de la violación masiva anunciada en diciembre, que supuestamente comprometió un sistema de correo electrónico utilizado por liderazgo senior en el Departamento del Tesoro y sistemas en varias otras agencias federales, comenzó en marzo de 2020 cuando los piratas informáticos comprometieron el software de administración de TI de SolarWinds.

SolarWinds, con sede en Austin, Texas, vende software que permite a una organización ver lo que sucede en sus redes informáticas. En el ataque atribuido a Rusia, los piratas informáticos insertaron código malicioso en una actualización de esa plataforma de software, que se llama Orion. Alrededor de 18.000 clientes de SolarWinds instalaron la actualización contaminada en sus sistemas, dijo la compañía. La actualización comprometida ha tenido un gran impacto, cuya escala sigue creciendo a medida que surge nueva información.

En una declaración conjunta el 12 de diciembre, las agencias de seguridad nacional de Estados Unidos calificaron la violación de “significativa y continua”. Según un análisis de Microsoft y la firma de seguridad FireEye, ambos fueron infectado, el malware brinda a los piratas informáticos un amplio alcance en los sistemas afectados. Por el contrario, el ataque de piratería informado del presunto grupo chino no se infiltró en los sistemas de SolarWinds, sino que obtuvo acceso a los sistemas de su objetivo y luego aprovechó una vulnerabilidad en el software Orion que se ejecuta allí.

Microsoft dijo que había identificado más de 40 clientes que fueron el objetivo del hackeo atribuido a Rusia. Se desconoce cuántas agencias gubernamentales se vieron afectadas por la segunda campaña de piratería. Es probable que surja más información sobre los compromisos y sus consecuencias. Esto es lo que necesita saber sobre los trucos:

¿Cómo los piratas informáticos introdujeron malware en una actualización de software?

Los piratas informáticos lograron acceder a un sistema que SolarWinds usa para armar actualizaciones de su producto Orion, explicó la compañía en una presentación del 14 de diciembre ante la SEC. A partir de ahí, insertaron código malicioso en una actualización de software legítima. Esto se conoce como ataque a la cadena de suministro porque infecta el software mientras se está ensamblando.

Es un gran golpe para los piratas informáticos llevar a cabo un ataque a la cadena de suministro porque empaqueta su malware dentro de una pieza de software confiable. Los piratas informáticos suelen tener que explotar las vulnerabilidades de software sin parches en los sistemas de sus objetivos para obtener acceso, o engañar a objetivos individuales para que descarguen software malicioso con una campaña de phishing. Con un ataque a la cadena de suministro, los piratas informáticos podrían confiar en varias agencias gubernamentales y empresas para instalar la actualización de Orion a petición de SolarWinds.

El enfoque es especialmente poderoso en este caso porque, según los informes, miles de empresas y agencias gubernamentales de todo el mundo utilizan el software Orion. Con el lanzamiento de la actualización de software contaminada, la vasta lista de clientes de SolarWinds se convirtió en posibles objetivos de piratería.

¿Es esta la única campaña de piratería que explota el software SolarWinds?

SolarWinds también ha sido objeto de escrutinio por vulnerabilidades en su software. Estos son errores de codificación y no son el resultado de que los atacantes ingresen a los sistemas SolarWinds para implantar malware. En cambio, los piratas informáticos deben acceder a los sistemas de las víctimas y luego explotar las fallas en el software Orion que se ejecuta allí.

En diciembre, los investigadores de seguridad dijeron que las investigaciones forenses del software Orion en los sistemas afectados por la actualización contaminada también mostraron signos de que un grupo completamente distinto de atacantes también estaba apuntando a organizaciones a través de Orion. El 2 de febrero, Reuters informó que los funcionarios del gobierno creen que un grupo de piratas informáticos chinos sospechosos había pirateado agencias del gobierno federal utilizando una falla de software en Orion. Un portavoz del Centro Nacional de Finanzas del Departamento de Agricultura de EE. UU. Cuestionó el informe de Reuters de que los piratas informáticos habían violado sus sistemas.

El 3 de febrero, investigadores de la firma de ciberseguridad Trustwave publicaron información sobre tres vulnerabilidades en los productos de software de SolarWinds. Los errores se han corregido y no hay indicios de que se hayan utilizado en ningún ataque de piratería.

¿Qué sabemos sobre la participación rusa en el compromiso de los sistemas de SolarWinds?

Los funcionarios de inteligencia estadounidenses han culpado públicamente a Rusia del ataque a la cadena de suministro dirigido a los sistemas internos de SolarWinds. El FBI y la NSA se unieron a la Agencia de Seguridad de Infraestructura y Ciberseguridad y a la Oficina del Director de Inteligencia Nacional el 5 de enero para decir que el ataque era “probablemente de origen ruso”, pero no llegó a nombrar a un grupo de piratería específico o agencia gubernamental rusa como siendo responsable.

La declaración conjunta de inteligencia siguió a los comentarios del entonces secretario de Estado, Mike Pompeo, en una entrevista el 18 de diciembre en la que atribuyó el ataque a Rusia. Además, los medios de comunicación habían citado a funcionarios del gobierno durante la semana anterior que dijeron que se cree que un grupo de piratas informáticos ruso es responsable de la campaña de malware. Esto contrarrestó las especulaciones del entonces presidente Donald Trump de que China podría estar detrás del ataque.

SolarWinds y las empresas de ciberseguridad han atribuido el ataque a “actores del estado-nación”, pero no han nombrado un país directamente.

En un comunicado del 13 de diciembre en Facebook, la embajada rusa en Estados Unidos negó ser responsable de la campaña de piratería de SolarWinds. “Las actividades maliciosas en el espacio de información contradicen los principios de la política exterior rusa, los intereses nacionales y nuestra comprensión de las relaciones interestatales”, dijo la embajada, y agregó que “Rusia no realiza operaciones ofensivas en el dominio cibernético”.

Apodado APT29 o CozyBear, el grupo de piratería al que apuntan los informes de noticias ha sido anteriormente acusado de atacar los sistemas de correo electrónico en el Departamento de Estado y la Casa Blanca durante la administración del presidente Barack Obama. También fue nombrado por las agencias de inteligencia estadounidenses como uno de los grupos que se infiltró en los sistemas de correo electrónico del Comité Nacional Demócrata en 2015, pero la filtración de esos correos electrónicos no se atribuye a CozyBear. (Otra agencia rusa fue culpada de eso).

Más recientemente, EE. UU., Reino Unido y Canadá han identificado al grupo como responsable de los esfuerzos de piratería que intentaron acceder información sobre la investigación de la vacuna COVID-19.

¿Qué agencias gubernamentales se vieron afectadas por la actualización contaminada?

Según informes de Reuters, The Washington Post y The Wall Street Journal, la actualización que contenía malware afectó a los departamentos de Seguridad Nacional, Estado, Comercio y Tesoro de EE. UU., Así como a los Institutos Nacionales de Salud. Politico informó el 17 de diciembre que los programas nucleares administrados por el Departamento de Energía de Estados Unidos y la Administración Nacional de Seguridad Nuclear también fueron atacados.

Reuters informó el 23 de diciembre que CISA agregó gobiernos locales y estatales a la lista de víctimas. Según el sitio web de CISA, la agencia está “rastreando un incidente cibernético significativo que afecta las redes empresariales en los gobiernos federal, estatal y local, así como en las entidades de infraestructura crítica y otras organizaciones del sector privado”.

Aún no está claro qué información, si es que alguna, fue robada de las agencias gubernamentales, pero la cantidad de acceso parece ser amplia.

Aunque el Departamento de Energía y el Departamento de Comercio y Departamento de Tesorería han reconocido los ataques, no hay confirmación oficial de que se hayan pirateado otras agencias federales específicas. Sin embargo, la Agencia de Seguridad de Infraestructura y Ciberseguridad emitió un aviso instando a las agencias federales a mitigar el malware, señalando que “actualmente está siendo explotado por actores maliciosos”.

En un comunicado el 17 de diciembre, el entonces presidente electo Joe Biden dijo que su administración “haría que lidiar con esta violación sea una prioridad desde el momento en que asumamos el cargo”.

¿Por qué es tan importante el hackeo de la cadena de suministro?

Además de obtener acceso a varios sistemas gubernamentales, los piratas informáticos convirtieron una actualización de software corriente en un arma. Esa arma se apuntó a miles de grupos, no solo a las agencias y empresas en las que los piratas informáticos se enfocaron después de instalar la actualización de Orion contaminada.

El presidente de Microsoft, Brad Smith, llamó a esto un “acto de imprudencia” en una publicación de blog de amplio alcance el 17 de diciembre que exploró las ramificaciones del hack. No atribuyó directamente el ataque a Rusia, pero describió sus supuestas campañas de piratería anteriores como prueba de un conflicto cibernético cada vez más tenso.

“Esto no es solo un ataque a objetivos específicos”, dijo Smith, “sino a la confianza y confiabilidad de la infraestructura crítica del mundo para hacer avanzar la agencia de inteligencia de una nación”. Continuó pidiendo acuerdos internacionales para limitar la creación de herramientas de piratería que socavan la ciberseguridad global.

El exjefe de ciberseguridad de Facebook, Alex Stamos, dijo el 18 de diciembre en Twitter que el ataque podría provocar ataques a la cadena de suministro. volviéndose más común. Sin embargo, l cuestionó si el hack era algo fuera de lo común para una agencia de inteligencia con buenos recursos.

“Hasta ahora, toda la actividad que se ha discutido públicamente ha caído dentro de los límites de lo que Estados Unidos hace regularmente”, Stamos. tuiteó.

¿Fueron las empresas privadas u otros gobiernos afectados por el malware?

Si. Microsoft confirmó el 17 de diciembre que encontró indicadores del malware en sus sistemas, después de confirmar varios días antes que la violación estaba afectando a sus clientes. Un informe de Reuters también dijo que los propios sistemas de Microsoft se utilizaron para promover la campaña de piratería, pero Microsoft negó esta afirmación a las agencias de noticias. El 16 de diciembre, la compañía comenzó a poner en cuarentena las versiones de Orion que se sabe que contienen el malware, con el fin de aislar a los piratas informáticos de los sistemas de sus clientes.

FireEye también confirmó que estaba infectado con el malware y también estaba viendo la infección en los sistemas de los clientes.

El 21 de diciembre, The Wall Street Journal dijo que había descubierto al menos 24 empresas que habían instalado el software malicioso. Estos incluyen las empresas de tecnología Cisco, Intel, Nvidia, VMware y Belkin, según el Journal. Según los informes, los piratas informáticos también tuvieron acceso al Departamento de Hospitales Estatales de California y a la Universidad Estatal de Kent.

No está claro cuál de los otros clientes del sector privado de SolarWinds vio infecciones de malware. La lista de clientes de la compañía incluye grandes corporaciones, como AT&T, Procter & Gamble y McDonald’s. La empresa también cuenta como clientes con gobiernos y empresas privadas de todo el mundo. FireEye dice que muchos de esos clientes estaban infectados.

Corrección, 23 de diciembre: Esta historia se ha actualizado para aclarar que SolarWinds fabrica software de gestión de TI. Una versión anterior de la historia decía erróneamente el propósito de sus productos.

Para más noticias diarias, visite Spanishnews.us

Leave a Reply

Your email address will not be published. Required fields are marked *