Microsoft: sus sistemas también fueron violados en ataque masivo de SolarWinds

La noticia del compromiso de Microsoft fue reportada por primera vez por Reuters , que también dijo que los propios productos de la compañía se usaron para atacar a otras víctimas aprovechando sus ofertas en la nube. En una declaración a The Hacker News por correo electrónico, la compañía dijo: “Al igual que otros clientes de SolarWinds, […]

La noticia del compromiso de Microsoft fue reportada por primera vez por Reuters , que también dijo que los propios productos de la compañía se usaron para atacar a otras víctimas aprovechando sus ofertas en la nube.

En una declaración a The Hacker News por correo electrónico, la compañía dijo:

“Al igual que otros clientes de SolarWinds, hemos estado buscando activamente indicadores de este actor y podemos confirmar que detectamos binarios de SolarWinds maliciosos en nuestro entorno, que aislamos y eliminamos. No hemos encontrado evidencia de acceso a servicios de producción o datos de clientes. Nuestro las investigaciones, que están en curso, no han encontrado absolutamente ningún indicio de que nuestros sistemas se hayan utilizado para atacar a otros “.

En los últimos días, Microsoft, FireEye y GoDaddy tomaron el control de uno de los principales dominios de GoDaddy, avsvmcloud [.] Com, que fue utilizado por los piratas informáticos para comunicarse con los sistemas comprometidos, reconfigurándolo para crear un interruptor que evitaría el malware SUNBURST continúe operando en las redes de las víctimas.

Por su parte, SolarWinds aún no ha revelado cómo exactamente el atacante logró obtener un amplio acceso a sus sistemas para poder insertar malware en las actualizaciones de software legítimas de la compañía.

Sin embargo, la evidencia reciente apunta a un compromiso de su sistema de construcción y lanzamiento de software. Se dice que unos 18.000 clientes de Orion descargaron las actualizaciones que contienen la puerta trasera.

Symantec, que descubrió anteriormente más de 2.000 sistemas pertenecientes a 100 clientes que recibieron las actualizaciones de SolarWinds Orion troyanizadas, ahora ha confirmado la implementación de una carga útil de segunda etapa separada llamada Teardrop que se utiliza para instalar Cobalt Strike Beacon contra objetivos de interés seleccionados.

Se cree que los ataques son obra de APT29, un grupo de amenazas ruso también conocido como Cozy Bear, que se ha relacionado con una serie de violaciones de la infraestructura crítica de Estados Unidos durante el año pasado.