La campaña masiva de espionaje patrocinada por el estado que comprometió al fabricante de software SolarWinds también apuntó a Microsoft, ya que la investigación en desarrollo sobre la ola de piratería revela que el incidente puede haber sido mucho más amplio en alcance, sofisticación e impacto de lo que se pensaba anteriormente.
La noticia del compromiso de Microsoft fue reportada por primera vez por Reuters, que también dijo que los propios productos de la compañía se usaron para atacar a otras víctimas al aprovechar sus ofertas en la nube, citando a personas familiarizadas con el asunto.
Sin embargo, el fabricante de Windows negó que el actor de amenazas se hubiera infiltrado en sus sistemas de producción para realizar más ataques contra sus clientes.
En una declaración a The Hacker News por correo electrónico, la compañía dijo:
«Al igual que otros clientes de SolarWinds, hemos estado buscando activamente indicadores de este actor y podemos confirmar que detectamos binarios maliciosos de SolarWinds en nuestro entorno, que aislamos y eliminamos. No hemos encontrado evidencia de acceso a servicios de producción o datos de clientes. Nuestro Las investigaciones, que están en curso, no han encontrado absolutamente ningún indicio de que nuestros sistemas se hayan utilizado para atacar a otros».
Al caracterizar el ataque como «un momento de ajuste de cuentas», el presidente de Microsoft, Brad Smith, dijo que notificó a más de 40 clientes ubicados en Bélgica, Canadá, Israel, México, España, los Emiratos Árabes Unidos, el Reino Unido y los Estados Unidos que fueron identificados por los atacantes. . El 44% de las víctimas se encuentran en el sector de la tecnología de la información, incluidas las empresas de software, los servicios de TI y los proveedores de equipos.
CISA emite un nuevo aviso
El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó un nuevo aviso, declarando que el «actor APT [behind the compromises] ha demostrado paciencia, seguridad operativa y oficio complejo en estas intrusiones».
“Esta amenaza representa un grave riesgo para el gobierno federal y los gobiernos estatales, locales, tribales y territoriales, así como para las entidades de infraestructura crítica y otras organizaciones del sector privado”, agregó.
Pero en un giro, la agencia también dijo que identificó vectores de infección iniciales adicionales, además de la plataforma SolarWinds Orion, que el adversario ha aprovechado para montar los ataques, incluida una clave robada previamente para eludir la autenticación multifactor (MFA) de Duo. para acceder al buzón de correo de un usuario a través del servicio Outlook Web App (OWA).
La firma forense digital Volexity, que rastrea al actor bajo el apodo de Dark Halo, dijo que el bypass de MFA fue uno de los tres incidentes entre fines de 2019 y 2020 dirigidos a un grupo de expertos con sede en EE. UU.
Toda la campaña de intrusión salió a la luz a principios de esta semana cuando FireEye reveló que había detectado una brecha que también robó sus herramientas de prueba de penetración Red Team.
Desde entonces, se ha descubierto que varias agencias han sido atacadas, incluidos los departamentos del Tesoro, Comercio, Seguridad Nacional y Energía de EE. UU., la Administración Nacional de Seguridad Nuclear (NNSA) y varias redes de departamentos de estado.
Si bien muchos detalles continúan sin estar claros, la revelación sobre nuevos modos de ataque plantea más preguntas sobre el nivel de acceso que los atacantes pudieron obtener en los sistemas gubernamentales y corporativos de todo el mundo.
Microsoft, FireEye y GoDaddy crean un Killswitch
En los últimos días, Microsoft, FireEye y GoDaddy tomaron el control de uno de los principales dominios de GoDaddy: avsvmcloud[.]com, que fue utilizado por los piratas informáticos para comunicarse con los sistemas comprometidos, reconfigurándolo para crear un interruptor de apagado que evitaría que el malware SUNBURST continuara operando en las redes de las víctimas.
Por su parte, SolarWinds aún no ha revelado cómo exactamente el atacante logró obtener un amplio acceso a sus sistemas para poder insertar malware en las actualizaciones de software legítimas de la empresa.
Sin embargo, la evidencia reciente apunta a un compromiso de su sistema de compilación y lanzamiento de software. Se dice que unos 18.000 clientes de Orion han descargado las actualizaciones que contienen la puerta trasera.
Symantec, que anteriormente descubrió más de 2000 sistemas pertenecientes a 100 clientes que recibieron las actualizaciones troyanizadas de SolarWinds Orion, ahora ha confirmado la implementación de una carga útil separada de segunda etapa llamada Teardrop que se usa para instalar Cobalt Strike Beacon contra objetivos seleccionados de interés.
Se cree que los ataques son obra de APT29, un grupo de amenazas ruso también conocido como Cozy Bear, que se ha relacionado con una serie de violaciones de la infraestructura crítica de EE. UU. durante el año pasado.
La última serie de intrusiones también ha llevado a CISA, la Oficina Federal de Investigaciones (FBI) de EE. UU. y la Oficina del Director de Inteligencia Nacional (ODNI) a emitir una declaración conjunta, afirmando que las agencias están reuniendo inteligencia para atribuir, perseguir e interrumpir a los actores de amenazas responsables.
Al pedir medidas más firmes para responsabilizar a los estados-nación por los ataques cibernéticos, Smith dijo que los ataques representan «un acto de imprudencia que creó una vulnerabilidad tecnológica grave para Estados Unidos y el mundo».
«En efecto, este no es solo un ataque contra objetivos específicos, sino contra la confianza y confiabilidad de la infraestructura crítica del mundo para hacer avanzar la agencia de inteligencia de una nación», agregó.
