Mientras los investigadores de seguridad cibernética continúan armando el extenso ataque a la cadena de suministro de SolarWinds, los altos ejecutivos de la firma de servicios de software con sede en Texas culparon a un pasante por un error crítico de contraseña que pasó desapercibido durante varios años.
Originalmente, se creía que dicha contraseña «solarwinds123» era de acceso público a través de un repositorio de GitHub desde el 17 de junio de 2018, antes de que se solucionara la configuración incorrecta el 22 de noviembre de 2019.
Pero en una audiencia ante los Comités de Supervisión y Reforma y Seguridad Nacional de la Cámara de Representantes sobre SolarWinds el viernes, el director ejecutivo Sudhakar Ramakrishna testificó que la contraseña había estado en uso desde 2017.
Si bien una investigación preliminar sobre el ataque reveló que los operadores detrás de la campaña de espionaje lograron comprometer la creación de software y la infraestructura de firma de código de la plataforma SolarWinds Orion ya en octubre de 2019 para entregar la puerta trasera Sunburst, los esfuerzos de respuesta a incidentes de Crowdstrike apuntaron a una línea de tiempo revisada que estableció la primera brecha en la red de SolarWinds el 4 de septiembre de 2019.
Hasta la fecha, al menos nueve agencias gubernamentales y 100 empresas del sector privado han sido violadas en lo que se describe como una de las operaciones más sofisticadas y mejor planificadas que implicó inyectar el implante malicioso en la plataforma de software Orion con el objetivo de comprometer a sus clientes.
«Un error que cometió un interno».
«Tengo una contraseña más segura que ‘solarwinds123’ para evitar que mis hijos vean demasiado YouTube en su iPad», dijo la representante Katie Porter de California. «Se suponía que usted y su compañía estaban impidiendo que los rusos leyeran los correos electrónicos del Departamento de Defensa».
«Creo que esa fue la contraseña que usó un interno en uno de sus servidores en 2017, que se informó a nuestro equipo de seguridad y se eliminó de inmediato», dijo Ramakrishna en respuesta a Porter.
El ex director ejecutivo Kevin Thompson se hizo eco de la declaración de Ramakrishna durante el testimonio. «Eso se relacionó con un error que cometió un pasante, y violó nuestras políticas de contraseñas y publicó esa contraseña en su propia cuenta privada de GitHub», dijo Thompson. «Tan pronto como se identificó y llamó la atención de mi equipo de seguridad, lo eliminaron».
El investigador de seguridad Vinoth Kumar reveló en diciembre que notificó a la empresa sobre un repositorio de GitHub de acceso público que estaba filtrando las credenciales de FTP del sitio web de descarga de la empresa, agregando que un pirata informático podría usar las credenciales para cargar un ejecutable malicioso y agregarlo a un Actualización de vientos solares.
En las semanas posteriores a la revelación, SolarWinds se vio afectada por una demanda colectiva en enero de 2021 que alegaba que la empresa no reveló que «desde mediados de 2020, los productos de monitoreo de SolarWinds Orion tenían una vulnerabilidad que permitía a los piratas informáticos comprometer el servidor en el que se encuentra el ejecutaron los productos «, y que» el servidor de actualización de SolarWinds tenía una contraseña de fácil acceso de ‘solarwinds123’, «como resultado de lo cual la empresa» sufriría un daño significativo en su reputación «.
Si bien aún no está claro en qué medida la contraseña filtrada pudo haber habilitado el hackeo, un portavoz externo de la compañía afirmó lo contrario.
«SolarWinds ha determinado que las credenciales que usaban esa contraseña eran para una aplicación de un proveedor externo y no para acceder a los sistemas de TI de SolarWinds», dijo el vocero. «Además, la aplicación de terceros no se conectó con los sistemas de TI de SolarWinds. Como tal, SolarWinds ha determinado que las credenciales que usan esta contraseña no tienen nada que ver con el ataque SUNBURST u otra violación de los sistemas de TI de la empresa».
La NASA y la FAA también están en la mira
Se cree que hasta 18 000 clientes de SolarWinds recibieron la actualización troyanizada de Orion, aunque el actor de amenazas detrás de la operación eligió cuidadosamente sus objetivos y optó por escalar los ataques solo en un puñado de casos al implementar el malware Teardrop basado en la información recopilada durante un reconocimiento inicial. del entorno de destino para cuentas y activos de alto valor.
Además de infiltrarse en las redes de Microsoft, FireEye, Malwarebytes y Mimecast, también se dice que los atacantes utilizaron SolarWinds como punto de partida para penetrar en la Administración Nacional de Aeronáutica y del Espacio (NSA) y la Administración Federal de Aviación (FAA), según al Washington Post.
Las otras siete agencias violadas son los Departamentos de Estado, Justicia, Comercio, Seguridad Nacional, Energía, Tesoro y los Institutos Nacionales de Salud.
«Además de esta estimación, hemos identificado víctimas adicionales del gobierno y del sector privado en otros países, y creemos que es muy probable que queden otras víctimas aún no identificadas, tal vez especialmente en regiones donde la migración a la nube no está tan avanzada como debería». está en los Estados Unidos”, dijo el presidente de Microsoft, Brad Smith, durante la audiencia.
El grupo de amenazas, supuestamente de origen ruso, está siendo rastreado bajo diferentes nombres, incluidos UNC2452 (FireEye), SolarStorm (Unidad 42 de Palo Alto), StellarParticle (CrowdStrike) y Dark Halo (Volexity).
«Los piratas informáticos lanzaron el ataque desde el interior de Estados Unidos, lo que dificultó aún más que el gobierno de Estados Unidos observara su actividad», dijo la asesora adjunta de seguridad nacional, Anne Neuberger, en una sesión informativa en la Casa Blanca el mes pasado. «Este es un actor sofisticado que hizo todo lo posible para ocultar sus huellas. Creemos que les tomó meses planificar y ejecutar este compromiso».
Adoptar un enfoque «seguro por diseño»
Al comparar el ataque cibernético de SolarWinds con una «serie a gran escala de invasiones de hogares», Smith instó a la necesidad de fortalecer las cadenas de suministro de software y hardware del sector tecnológico y promover un intercambio más amplio de inteligencia de amenazas para respuestas en tiempo real durante tales incidentes.
En ese sentido, Microsoft tiene consultas CodeQL de código abierto que se utilizan para buscar actividad de Solorigate, que, según dice, podría ser utilizada por otras organizaciones para analizar su código fuente a escala y buscar indicadores de compromiso (IoC) y patrones de codificación asociados con el ataque. .
En un desarrollo relacionado, los investigadores de seguridad cibernética que hablaron con The Wall Street Journal revelaron que los presuntos piratas informáticos rusos utilizaron los centros de datos de computación en la nube de Amazon para montar una parte clave de la campaña, arrojando nueva luz sobre el alcance de los ataques y las tácticas empleadas por el grupo. El gigante tecnológico, sin embargo, hasta ahora no ha hecho públicos sus conocimientos sobre la actividad de piratería.
SolarWinds, por su parte, dijo que está implementando el conocimiento obtenido del incidente para convertirse en una empresa «segura por diseño» y que está implementando software adicional de protección contra amenazas y caza de amenazas en todos los puntos finales de su red, incluidas medidas para salvaguardar sus entornos de desarrollo. .
