Microsoft y FireEye confirman el ataque a la cadena de suministro de SolarWinds

Los piratas informáticos que se cree que operan en nombre de un gobierno extranjero han violado el proveedor de software SolarWinds y luego implementaron una actualización con malware para su software Orion para infectar las redes de múltiples empresas estadounidenses y redes gubernamentales,  dijo hoy la firma de seguridad estadounidense FireEye .

El informe de FireEye se produce después de que  Reuters , el  Washington Post y  Wall Street Journal  informaron sobre las intrusiones del domingo en el Departamento del Tesoro de EE. UU. Y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE. UU.

El ataque a la cadena de suministro de SolarWinds también es la forma en que los piratas informáticos obtuvieron acceso a la propia red de FireEye, que la compañía  reveló a principios de esta semana .

The Washington Post citó fuentes que afirman que muchas otras agencias gubernamentales también se vieron afectadas.

Reuters informó que el incidente se consideró tan grave que llevó a una rara reunión del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca, un día antes, el sábado.

Fuentes que hablaron con el Washington Post vincularon la intrusión a  APT29 , un nombre en clave utilizado por la industria de la seguridad cibernética para describir a los piratas informáticos asociados con el Servicio de Inteligencia Exterior de Rusia (SVR).

FireEye no confirmó la atribución APT29 y le dio al grupo un nombre en clave neutral de UNC2452, aunque varias fuentes en la comunidad de ciberseguridad le dijeron a  ZDNet que  la atribución APT29, realizada por el gobierno de los EE. UU., Es probablemente correcta, según la evidencia actual.

En las alertas de seguridad enviadas a sus clientes en privado el domingo, Microsoft también confirmó el compromiso de SolarWinds y proporcionó contramedidas a los clientes que pueden haber sido afectados.

SolarWinds admitió la violación de su aplicación Orion

SolarWinds publicó un  comunicado de prensa a  última hora del domingo admitiendo la violación de  Orion , una plataforma de software para el monitoreo y la administración centralizados, generalmente empleada en grandes redes para realizar un seguimiento de todos los recursos de TI, como servidores, estaciones de trabajo, móviles y dispositivos de IoT.

La empresa de software dijo que las versiones de actualización de Orion 2019.4 a 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020, se han contaminado con malware.

FireEye nombró a este malware SUNBURST y publicó un  informe técnico  hoy, junto con las  reglas de detección en GitHub .

Microsoft nombró al malware  Solorigate  y agregó reglas de detección a su antivirus Defender.

No se reveló el número de víctimas.

A pesar de los informes iniciales del domingo y la campaña de piratería no parece haber estado dirigida específicamente a Estados Unidos.

“La campaña está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo”, dijo FireEye.

“Las víctimas han incluido entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente. Anticipamos que habrá víctimas adicionales en otros países y verticales”, agregó FireEye.

SolarWinds dijo que planea lanzar una nueva actualización (2020.2.1 HF 2) el martes 15 de diciembre, que “reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales”.

La Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) también emitió una directiva de emergencia con instrucciones sobre cómo las agencias gubernamentales pueden detectar y analizar sistemas comprometidos con el malware SUNBURST.

[isc_list]

Deja un comentario