Agencias de EE.UU. y grandes compañías han sido comprometidas por backdoor del software SolarWinds

Nuevos antecedentes se suman al caso del ciberataque a FireEye. Esta vez se encendieron las alarmas luego de que el proveedor informático SolarWinds fuera víctima de lo que catalogan como un »ciberataque sofisticado».

Un grupo de ciberdelincuentes atacó el Departamento del Tesoro de Estados Unidos, La Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE. UU., Otras agencias gubernamentales y empresas del sector privado (incluida, aparentemente, FireEye) a través del software SolarWinds Orion comprometido.

The Washington Post, citando fuentes no identificadas, dijo que los últimos ataques fueron obra de APT29 o Cozy Bear, el mismo grupo de piratería que se cree que orquestó una violación de la firma de ciberseguridad con sede en EE. UU. FireEye hace unos días que llevó al robo de su Red. Herramientas de prueba de penetración de equipos.

El software de monitoreo de TI dirigido, llamado Orion, es utilizado por «cientos de miles de organizaciones en todo el mundo». SolarWinds dice en su sitio web que sus productos son utilizados actualmente por más de 300.000 clientes que abarcan sectores como el militar, gubernamental, empresarial y educativo.

SolarWinds atiende a más de 425 empresas de Fortune 500, a cada una de las 10 principales empresas de telecomunicaciones de EE. UU. Y a todas las ramas del ejército estadounidense, por lo que claramente es un objetivo importante para ciberdelincuentes.

Según su sitio web, los clientes de EE. UU. Incluyen el Pentágono, el Departamento de Estado, la NASA, NOAA , la Agencia de Seguridad Nacional (NSA), el Servicio Postal, el Departamento de Justicia y la Oficina del Presidente de los Estados Unidos. Además, enumera las cinco principales firmas contables de EE. UU. Y «cientos» de universidades y facultades de todo el mundo.

Aquí hay una lista de clientes parcial adicional, por SolarWinds:

Lista parcial de clientes de SolarWinds

Una lista parcial de clientes de SolarWinds, según el sitio web de la empresa de software.

SolarWinds dijo en un aviso de seguridad el domingo que le habían informado que uno de sus productos, específicamente Orion, sufrió un «ataque manual altamente sofisticado a la cadena de suministro». 

Un ataque a la cadena de suministro

Según los informes de FireEye y Microsoft, el grupo de piratas informáticos logró insertar un backdoor (firmada con los certificados legítimos de SolarWinds) en un archivo DLL utilizado por la plataforma SolarWinds Orion, que las organizaciones utilizan para la supervisión y gestión de TI.

SolarWinds Orion comprometido

«Aunque no sabemos cómo el código de la puerta trasera llegó a la biblioteca, de las campañas recientes, las investigaciones indican que los atacantes podrían haber comprometido la compilación interna o los sistemas de distribución de SolarWinds» , señaló Microsoft , y agregó que la puerta trasera se distribuyó de forma automática. actualizar plataformas o sistemas en las redes de destino.

Una vez dentro, los atacantes se movieron lateralmente y procedieron a robar datos.