Microsoft reveló el jueves que los actores de amenazas detrás del ataque a la cadena de suministro de SolarWinds pudieron obtener acceso a una pequeña cantidad de cuentas internas y escalar el acceso dentro de su red interna.
El «actor de estado-nación muy sofisticado» usó el acceso no autorizado para ver, pero no modificar, el código fuente presente en sus repositorios, dijo la compañía.
«Detectamos actividad inusual con una pequeña cantidad de cuentas internas y, tras la revisión, descubrimos que una cuenta se había utilizado para ver el código fuente en varios repositorios de código fuente», reveló el fabricante de Windows en una actualización.
«La cuenta no tenía permisos para modificar ningún código o sistema de ingeniería y nuestra investigación confirmó además que no se realizaron cambios. Estas cuentas fueron investigadas y remediadas».
El desarrollo es el último de la saga de espionaje de gran alcance que salió a la luz a principios de diciembre luego de las revelaciones de la firma de seguridad cibernética FireEye de que los atacantes habían comprometido sus sistemas a través de una actualización de SolarWinds con troyanos para robar sus herramientas de prueba de penetración Red Team.
Durante el curso de la investigación del ataque, Microsoft había admitido previamente haber detectado binarios maliciosos de SolarWinds en su propio entorno, pero negó que sus sistemas se usaran para apuntar a otros o que los atacantes tuvieran acceso a servicios de producción o datos de clientes.
Varias otras compañías, incluidas Cisco, VMware, Intel, NVIDIA y varias otras agencias gubernamentales de EE. UU., han descubierto desde entonces marcadores del malware Sunburst (o Solorigate) en sus redes, plantados a través de actualizaciones contaminadas de Orion.
La compañía con sede en Redmond dijo que su investigación aún está en curso, pero minimizó el incidente y agregó que «ver el código fuente no está vinculado a la elevación del riesgo» y que encontró evidencia de intentos de actividades que fueron neutralizados por sus protecciones.
En un análisis separado publicado por Microsoft el 28 de diciembre, la compañía calificó el ataque como un «compromiso entre dominios» que permitió al adversario introducir código malicioso en los binarios firmados de la plataforma SolarWinds Orion y aprovechar este punto de apoyo generalizado para continuar operando sin ser detectado y acceder a los datos del objetivo. recursos de la nube, que culmina en la exfiltración de datos confidenciales.
Sin embargo, el software Orion de SolarWinds no fue el único vector de infección inicial, ya que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo que los atacantes también utilizaron otros métodos, que aún no se han revelado públicamente.
La agencia también publicó una guía complementaria instando a todas las agencias federales de EE. UU. que aún ejecutan el software SolarWinds Orion a actualizarse a la última versión 2020.2.1 HF2.
“La Agencia de Seguridad Nacional (NSA) examinó esta versión y verificó que elimina el código malicioso identificado previamente”, dijo la agencia.
