Los piratas informáticos que se cree que operan en nombre de un gobierno extranjero han violado el proveedor de software SolarWinds y luego implementaron una actualización con malware para su software Orion para infectar las redes de múltiples empresas estadounidenses y redes gubernamentales, dijo hoy la firma de seguridad estadounidense FireEye .
El informe de FireEye se produce después de que Reuters , el Washington Post y Wall Street Journal informaron sobre las intrusiones del domingo en el Departamento del Tesoro de EE. UU. Y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE. UU.
El ataque a la cadena de suministro de SolarWinds también es la forma en que los piratas informáticos obtuvieron acceso a la propia red de FireEye, que la compañía reveló a principios de esta semana .
The Washington Post citó fuentes que afirman que muchas otras agencias gubernamentales también se vieron afectadas.
Reuters informó que el incidente se consideró tan grave que llevó a una rara reunión del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca, un día antes, el sábado.
Fuentes que hablaron con el Washington Post vincularon la intrusión a APT29 , un nombre en clave utilizado por la industria de la seguridad cibernética para describir a los piratas informáticos asociados con el Servicio de Inteligencia Exterior de Rusia (SVR).
FireEye no confirmó la atribución APT29 y le dio al grupo un nombre en clave neutral de UNC2452, aunque varias fuentes en la comunidad de ciberseguridad le dijeron a ZDNet que la atribución APT29, realizada por el gobierno de los EE. UU., Es probablemente correcta, según la evidencia actual.
En las alertas de seguridad enviadas a sus clientes en privado el domingo, Microsoft también confirmó el compromiso de SolarWinds y proporcionó contramedidas a los clientes que pueden haber sido afectados.
SolarWinds admitió la violación de su aplicación Orion
SolarWinds publicó un comunicado de prensa a última hora del domingo admitiendo la violación de Orion , una plataforma de software para el monitoreo y la administración centralizados, generalmente empleada en grandes redes para realizar un seguimiento de todos los recursos de TI, como servidores, estaciones de trabajo, móviles y dispositivos de IoT.
La empresa de software dijo que las versiones de actualización de Orion 2019.4 a 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020, se han contaminado con malware.
FireEye nombró a este malware SUNBURST y publicó un informe técnico hoy, junto con las reglas de detección en GitHub .
Microsoft nombró al malware Solorigate y agregó reglas de detección a su antivirus Defender.
No se reveló el número de víctimas.
A pesar de los informes iniciales del domingo y la campaña de piratería no parece haber estado dirigida específicamente a Estados Unidos.
«La campaña está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo», dijo FireEye.
«Las víctimas han incluido entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente. Anticipamos que habrá víctimas adicionales en otros países y verticales», agregó FireEye.
SolarWinds dijo que planea lanzar una nueva actualización (2020.2.1 HF 2) el martes 15 de diciembre, que «reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales».
La Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) también emitió una directiva de emergencia con instrucciones sobre cómo las agencias gubernamentales pueden detectar y analizar sistemas comprometidos con el malware SUNBURST.
[isc_list]