.st0{fill:#FFFFFF;}

Microsoft y FireEye confirman el ataque a la cadena de suministro de SolarWinds 

 diciembre 15, 2020

Por  Felipe Arguello16

Los piratas informáticos que se cree que operan en nombre de un gobierno extranjero han violado el proveedor de software SolarWinds y luego implementaron una actualización con malware para su software Orion para infectar las redes de múltiples empresas estadounidenses y redes gubernamentales,  dijo hoy la firma de seguridad estadounidense FireEye .

El informe de FireEye se produce después de que  Reuters , el  Washington Post y  Wall Street Journal  informaron sobre las intrusiones del domingo en el Departamento del Tesoro de EE. UU. Y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE. UU.

El ataque a la cadena de suministro de SolarWinds también es la forma en que los piratas informáticos obtuvieron acceso a la propia red de FireEye, que la compañía  reveló a principios de esta semana .

The Washington Post citó fuentes que afirman que muchas otras agencias gubernamentales también se vieron afectadas.

Reuters informó que el incidente se consideró tan grave que llevó a una rara reunión del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca, un día antes, el sábado.

Fuentes que hablaron con el Washington Post vincularon la intrusión a  APT29 , un nombre en clave utilizado por la industria de la seguridad cibernética para describir a los piratas informáticos asociados con el Servicio de Inteligencia Exterior de Rusia (SVR).

FireEye no confirmó la atribución APT29 y le dio al grupo un nombre en clave neutral de UNC2452, aunque varias fuentes en la comunidad de ciberseguridad le dijeron a  ZDNet que  la atribución APT29, realizada por el gobierno de los EE. UU., Es probablemente correcta, según la evidencia actual.

En las alertas de seguridad enviadas a sus clientes en privado el domingo, Microsoft también confirmó el compromiso de SolarWinds y proporcionó contramedidas a los clientes que pueden haber sido afectados.

SolarWinds admitió la violación de su aplicación Orion

SolarWinds publicó un  comunicado de prensa a  última hora del domingo admitiendo la violación de  Orion , una plataforma de software para el monitoreo y la administración centralizados, generalmente empleada en grandes redes para realizar un seguimiento de todos los recursos de TI, como servidores, estaciones de trabajo, móviles y dispositivos de IoT.

La empresa de software dijo que las versiones de actualización de Orion 2019.4 a 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020, se han contaminado con malware.

FireEye nombró a este malware SUNBURST y publicó un  informe técnico  hoy, junto con las  reglas de detección en GitHub .

Microsoft nombró al malware  Solorigate  y agregó reglas de detección a su antivirus Defender.

No se reveló el número de víctimas.

A pesar de los informes iniciales del domingo y la campaña de piratería no parece haber estado dirigida específicamente a Estados Unidos.

«La campaña está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo», dijo FireEye.

«Las víctimas han incluido entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente. Anticipamos que habrá víctimas adicionales en otros países y verticales», agregó FireEye.

SolarWinds dijo que planea lanzar una nueva actualización (2020.2.1 HF 2) el martes 15 de diciembre, que «reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales».

La Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) también emitió una directiva de emergencia con instrucciones sobre cómo las agencias gubernamentales pueden detectar y analizar sistemas comprometidos con el malware SUNBURST.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>