A principios de esta semana Fue reportado un ataque masivo a la cadena de suministro que afectó a SolarWinds y sus clientes. Es posible que SolarWinds haya sido pirateado porque sus credenciales estuvieron disponibles públicamente en GitHub durante un tiempo.
La lista de víctimas sigue creciendo, y ahora se sabe que los piratas informáticos han comprometido:
- La empresa estadounidense de seguridad de la información FireEye;
- Departamento del Tesoro de EE. UU.;
- Departamento de Comercio de EE. UU. Administración Nacional de Informática y Telecomunicaciones (POR QUÉ);
- Institutos Nacionales de Salud, Departamento de Salud de EE. UU. (NIH);
- Agencia de Ciberseguridad y Protección de Infraestructuras, organizado por el Departamento de Seguridad Nacional de EE.UU. (DHS CISA);
- Departamento de Seguridad Nacional (Departamento de Seguridad Nacional);
- Departamento de estado de los Estados Unidos.
Hackers desconocidos infectaron la plataforma Orion, Diseñado para monitoreo y control centralizados., con estallido de sol (aka Solorigate) malware. Típicamente, Orion se utiliza en redes grandes para rastrear todos los recursos de TI, como servidores, estaciones de trabajo, teléfonos móviles y dispositivos IoT.
Microsoft, ojo de fuego y la Agencia de Seguridad Cibernética y Protección de Infraestructura del Departamento de Seguridad Nacional de EE. UU. (DHS CISA) publicaron sus propios indicadores de compromiso e instrucciones para trabajar con sistemas infectados.
Entre las empresas 300,000 clientes, solamente 33,000 Se sabe que utilizaron Orión., y todos ellos ya han sido notificados del incidente. Al mismo tiempo, según vientos solares, se instaló una versión infectada de la plataforma Orion en 18,000 clientela.
SolarWinds no ha revelado oficialmente exactamente cómo los piratas informáticos lograron infiltrarse en su red.. Muchos medios llamaron la atención sobre las declaraciones del investigador de ciberseguridad. Vinoth Kumar, quien afirma que las credenciales del servidor de actualización de SolarWinds estaban disponibles gratuitamente en el repositorio oficial de GitHub de la compañía en 2018. Según Kumar, notó esta fuga en noviembre, y la contraseña del servidor era simple: «vientos solares123».
El investigador no afirma que esta credencial en particular haya jugado algún papel en el hackeo de la plataforma Orion., pero admite que es posible. El hecho es que los binarios maliciosos de Orion aún estaban firmados., lo que apunta a un compromiso más amplio de la red de la empresa.
La teoría de las credenciales filtradas también es confirmada por el Reuters agencia de noticias, según cuyas fuentes, El acceso a los sistemas SolarWinds ha estado a la venta durante mucho tiempo en la red oscura..
Mientras tanto, ZDNet, citando fuentes propias de la industria, escribe que Microsoft y sus socios han tomado el control del dominio que jugó un papel importante en comprometer a SolarWinds y le dio un sumidero.
Fuentes de la publicación describen esta operación como «protector», destinado a evitar que los operadores de malware envíen nuevos comandos a las computadoras infectadas.
Déjame recordarte también que Microsoft acusó a Rusia y Corea del Norte de ataques a empresas farmacéuticas.