Departamento del Tesoro de los Estados Unidos, Departamento de Comercio. Hackeado a través del compromiso de SolarWinds – Krebs on Protection


Comunicaciones en el El Tesoro de los Estados Unidos y Departamentos de comercio supuestamente se vieron comprometidos por un ataque a la cadena de suministro en Vientos solares, un proveedor de seguridad que ayuda al gobierno federal y a una variedad de compañías Fortune 500 a monitorear el estado de sus redes de TI. Dada la amplitud de la foundation de clientes de la empresa, los expertos dicen que el incidente puede ser solo la primera de muchas revelaciones de este tipo.

Algunos de los clientes de SolarWinds. Fuente: solarwinds.com

De acuerdo a una historia de Reuters, los piratas informáticos que se cree que trabajan para Rusia han estado monitoreando el tráfico de correo electrónico interno en los departamentos del Tesoro y Comercio de EE. UU. Reuters informa que los atacantes pudieron alterar subrepticiamente las actualizaciones publicadas por SolarWinds para su Plataforma Orion, un conjunto de herramientas de gestión de redes.

En un aviso de seguridadSolarWinds, con sede en Austin, Texas, reconoció que sus sistemas «experimentaron un ataque manual altamente sofisticado a la cadena de suministro en las compilaciones del application SolarWinds Orion System para las versiones 2019.4 HF 5 hasta 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020».

En respuesta a las intrusiones en Hacienda y Comercio, el Departamento de Seguridad Nacional Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dio el paso inusual de emitir una directiva de emergencia ordenando a todas las agencias federales que desconecten inmediatamente los productos Orion afectados de sus redes.

“Trate a todos los hosts monitoreados por el program de monitoreo SolarWinds Orion como comprometidos por los actores de amenazas y asuma que se han implementado más mecanismos de persistencia”, aconsejó CISA.

UNA entrada en el web site por Microsoft dice que los atacantes pudieron agregar código malicioso a las actualizaciones de software program proporcionadas por SolarWinds para los usuarios de Orion. «Esto da como resultado que el atacante se afiance en la pink, que el atacante puede utilizar para obtener credenciales elevadas», escribió Microsoft.

A partir de ahí, los atacantes podrían falsificar tokens de inicio de sesión único que se hacen pasar por cualquiera de los usuarios y cuentas existentes de la organización, incluidas las cuentas con muchos privilegios en la pink.

“Al utilizar cuentas con muchos privilegios adquiridas a través de la técnica anterior u otros medios, los atacantes pueden agregar sus propias credenciales a los principales de servicio de aplicaciones existentes, lo que les permite llamar a las API con el permiso asignado a esa aplicación”, explicó Microsoft.

Es posible que el código malicioso agregado a una actualización de software program de Orion no haya sido detectado por el software package antivirus y otras herramientas de seguridad en los sistemas host gracias en parte a la guía del propio SolarWinds. En este aviso de apoyo, SolarWinds dice que es posible que sus productos no funcionen correctamente a menos que sus directorios de archivos estén exentos de análisis antivirus y restricciones de objetos de políticas de grupo.

La historia de Reuters cita a varias fuentes anónimas que dicen que las intrusiones en los departamentos de Comercio y Tesoro podrían ser solo la punta del iceberg. Parece una apuesta justa.

Vientos solares dice tiene más de 300.000 clientes, entre ellos:

-más de 425 de las 500 de la lista Fortune de EE. UU.
-las diez de las diez principales empresas de telecomunicaciones de EE. UU.
-las cinco ramas del ejército de EE. UU.
-las cinco de las cinco principales firmas contables de EE. UU.
-el Pentagono
-el Departamento de Estado
-la Agencia de Seguridad Nacional
-el Departamento de Justicia
-La casa Blanca.

No está claro cuántos de los clientes que figuran en el sitio website de SolarWinds son usuarios de los productos Orion afectados. Pero Reuters informa que el ataque a la cadena de suministro en SolarWinds está conectado a una amplia campaña que también involucró el truco recientemente revelado en FireEye, en el que los piratas informáticos obtuvieron acceso a una gran cantidad de herramientas patentadas que la empresa utiliza para ayudar a los clientes a encontrar debilidades de seguridad en sus computadoras y redes.

Se cree que los compromisos en las agencias federales de EE. UU. Se remontan a principios de este verano y se culpa a los piratas informáticos que trabajan para el gobierno ruso. FireEye dijo que su violación fue obra de APT 29, también conocido como «Cozy Bear», un grupo de piratas informáticos ruso que se cree está asociado con una o más agencias de inteligencia de Rusia.

En su propio aviso, FireEye dijo Varias actualizaciones envenenadas con un programa malicioso de puerta trasera se firmaron digitalmente con un certificado de SolarWinds desde marzo hasta mayo de 2020 y se publicaron en el sitio world-wide-web de actualizaciones de SolarWindws.

FireEye postula que el impacto del pirateo en SolarWinds es generalizado y afecta a organizaciones públicas y privadas de todo el mundo.

«Las víctimas han incluido entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente», escribieron los analistas de la empresa. «Anticipamos que habrá víctimas adicionales en otros países y verticales».


Etiquetas: APT29, Agencia de Seguridad de Infraestructura y Ciberseguridad, Departamento de Comercio, Hack de FireEye, Microsoft, Orion, Reuters, Violación de SolarWinds, Departamento del Tesoro de EE. UU.

Esta entrada se publicó el lunes 14 de diciembre de 2020 a las 11:26 a.m. y está archivada en Violaciones de datos, La tormenta que se avecina.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial