El martes, el gobierno de EE. UU. señaló formalmente al gobierno ruso por orquestar el ataque masivo a la cadena de suministro de SolarWinds que salió a la luz a principios del mes pasado.
«Este trabajo indica que un actor de amenazas persistentes avanzadas (APT), probablemente de origen ruso, es responsable de la mayoría o la totalidad de los compromisos cibernéticos en curso recientemente descubiertos de redes gubernamentales y no gubernamentales», dijo la Oficina Federal de Investigaciones (FBI). ), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina del Director de Inteligencia Nacional (ODNI) y la Agencia de Seguridad Nacional (NSA) dijeron en un comunicado conjunto.
Sin embargo, Rusia negó cualquier participación en la operación el 13 de diciembre y afirmó que «no realiza operaciones ofensivas en el dominio cibernético».
El FBI, CISA, ODNI y la NSA son miembros del Grupo de Coordinación Unificado Cibernético (UCG), un grupo de trabajo recién formado establecido por el Consejo de Seguridad Nacional de la Casa Blanca para investigar y liderar los esfuerzos de respuesta para remediar el SolarWinds incumplimiento.
Un número mucho más pequeño comprometido
Llamando a la campaña un «esfuerzo de recopilación de inteligencia», las oficinas de inteligencia dijeron que actualmente están trabajando para comprender el alcance total del ataque y señalaron que menos de 10 agencias gubernamentales de EE. UU. se vieron afectadas por el compromiso.
Los nombres de las agencias afectadas no fueron revelados, aunque informes anteriores señalaron a los Departamentos del Tesoro, Comercio, Estado y de Energía y Seguridad Nacional de los EE. UU. de entidades privadas en todo el mundo.
Se dice que aproximadamente 18,000 clientes de SolarWinds descargaron la actualización de software de puerta trasera, pero el UCG dijo que solo un número menor había estado sujeto a actividad intrusiva de «seguimiento» en sus redes internas.
El análisis de Microsoft del modus operandi de Solorigate el mes pasado encontró que el malware de segunda etapa, denominado Teardrop, se implementó selectivamente contra objetivos según la información acumulada durante un reconocimiento inicial del entorno de la víctima para cuentas y activos de alto valor.
La declaración conjunta también confirma las especulaciones previas que vinculaban la operación de espionaje con APT29 (o Cozy Bear), un grupo de piratas informáticos patrocinados por el estado asociado con el Servicio de Inteligencia Exterior de Rusia (SVR).
La campaña de piratería se destacó por su escala y sigilo, y los atacantes aprovecharon la confianza asociada con el software SolarWinds Orion para espiar a las agencias gubernamentales y otras empresas durante al menos nueve meses, incluida la visualización del código fuente y el robo de herramientas de seguridad, en el momento en que fue descubierto.
SolarWinds enfrenta una demanda colectiva
Mientras tanto, SolarWinds se enfrenta a más consecuencias después de que un accionista de la empresa de software de gestión de infraestructura de TI presentara una demanda colectiva en el Tribunal de Distrito de EE. UU. para el Distrito Oeste de Texas el lunes contra su presidente, Kevin Thompson, y el director financiero, J. Barton Kalsu, alegando que los ejecutivos violaron las leyes federales de valores en virtud de la Ley de Bolsa de Valores de 1934.
La denuncia establece que SolarWinds no reveló que «desde mediados de 2020, los productos de monitoreo de SolarWinds Orion tenían una vulnerabilidad que permitía a los piratas informáticos comprometer el servidor en el que se ejecutaban los productos» y que «el servidor de actualización de SolarWinds tenía una contraseña de fácil acceso de» solarwinds123′, «como resultado de lo cual la empresa» sufriría un importante daño reputacional «.
