El hack de SolarWinds podría afectar a 18.000 clientes – Krebs on Safety


La brecha aún en desarrollo en la empresa de software program de gestión de redes Vientos solares puede haber dado lugar a que se envíen códigos maliciosos a casi 18.000 clientes, dijo la compañía en un documento authorized el lunes. Mientras tanto, Microsoft Pronto debería tener una idea de cuáles y cuántos clientes de SolarWinds se vieron afectados, ya que recientemente tomó posesión de un nombre de dominio clave utilizado por los intrusos para controlar los sistemas infectados.

El 13 de diciembre, SolarWinds reconoció que los piratas informáticos habían insertado malware en un servicio que proporcionaba actualizaciones de program para su Orión plataforma, un conjunto de productos ampliamente utilizado en el gobierno federal de los EE. UU. y en las empresas Fortune 500 para monitorear la salud de sus redes de TI.

En una presentación del 14 de diciembre con el Comisión de Valores de EE.UU (SEC), SolarWinds dijo que aproximadamente 33,000 de sus más de 300,000 clientes eran clientes de Orion, y que menos de 18,000 clientes pudieron haber tenido una instalación del producto Orion que contenía el código malicioso. SolarWinds dijo que la intrusión también comprometió sus cuentas de Microsoft Office environment 365.

La divulgación inicial de la infracción de SolarWinds se produjo cinco días después de que la empresa de respuesta a incidentes de ciberseguridad FireEye anunció que había sufrido una intrusión que resultó en el robo de unas 300 herramientas de software program patentadas que la empresa proporciona a los clientes para ayudar a proteger sus operaciones de TI.

El 13 de diciembre, FireEye publicó un informe detallado sobre la infraestructura de malware utilizada en el compromiso de SolarWinds, presentando evidencia de que el software program Orion fue comprometido por primera vez en marzo de 2020. FireEye no dijo explícitamente que su propia intrusión fue el resultado del hack de SolarWinds, pero la compañía se lo confirmó a KrebsOnSecurity anteriormente. hoy.

También el 13 de diciembre, se supo que el ataque a SolarWinds provocó que los atacantes leyeran las comunicaciones por correo electrónico en el El Tesoro de los Estados Unidos y Comercio departamentos.

El 14 de diciembre, Reuters informó La intrusión de SolarWinds también se había utilizado para infiltrarse en redes informáticas en el Departamento de Seguridad Nacional de EE. UU. (DHS). Esa divulgación se produjo menos de 24 horas después de que el DHS Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dio el paso inusual de emitir una directiva de emergencia ordenando a todas las agencias federales que desconecten inmediatamente los productos Orion afectados de sus redes.

ANÁLISIS

Los expertos en seguridad han estado especulando sobre el alcance del daño del hack de SolarWinds, revisando los detalles en el análisis de FireEye y en otros lugares para pistas sobre cuántas otras organizaciones pueden haber sido afectadas.

Y parece que Microsoft puede estar ahora quizás en la mejor posición para hacer un harmony de la carnicería. Eso se debe a que en algún momento del 14 de diciembre, el gigante del software tomó el command de un nombre de dominio clave: avsvmcloud (.) com – que fue utilizado por los piratas informáticos de SolarWinds para comunicarse con sistemas comprometidos por las actualizaciones de productos Orion con puerta trasera.

Armado con ese acceso, Microsoft debería poder decir qué organizaciones tienen sistemas de TI que todavía están intentando hacer ping al dominio malicioso. Sin embargo, debido a que muchos proveedores de servicios de Net y empresas afectadas ya están impidiendo que los sistemas accedan a ese dominio de command malicioso o han desconectado los servicios Orion vulnerables, la visibilidad de Microsoft puede ser algo limitada.

Microsoft tiene una larga trayectoria de trabajo con investigadores federales y los tribunales de EE. UU. Para tomar el manage de los dominios involucrados en amenazas globales de malware, particularmente cuando esos sitios se utilizan principalmente para atacar a clientes de Microsoft Windows.

Microsoft eludió preguntas directas sobre su visibilidad en el dominio de management de malware, sugiriendo que esas consultas se enviarían mejor a FireEye o Ve papi (el registrador de dominios true para el servidor de regulate de malware). Pero en una respuesta en Twitter, Portavoz de Microsoft Jeff Jones parecía confirmar que el command del dominio malicioso había cambiado de manos.

Ni FireEye ni Godaddy han respondido preguntas sobre el dominio malicioso. FireEye se negó a responder preguntas sobre exactamente cuándo se enteró de su propia intrusión a través del compromiso de Orion, o aproximadamente cuándo los atacantes comenzaron a descargar herramientas sensibles de la pink de FireEye. Pero la pregunta es interesante porque su respuesta puede hablar de las motivaciones y prioridades de los piratas informáticos.

Según la cronología conocida hasta ahora, los autores de este elaborado pirateo habrían tenido una strategy bastante clara en marzo de a cuál de los 18.000 clientes de Orion de SolarWinds valía la pena apuntar, y tal vez incluso en qué orden.

Alan Paller, director de investigación de la Instituto SANS, una empresa de educación y capacitación en seguridad con sede en Maryland, dijo que los atacantes probablemente eligieron priorizar sus objetivos basándose en algún cálculo de riesgo versus recompensa.

Paller dijo que los malos probablemente buscaron equilibrar el valor estratégico percibido de comprometer a cada objetivo con la probabilidad relativa de que explotarlos podría resultar en que toda la operación fuera descubierta y desmantelada.

«La forma en que esto probablemente se desarrolló es que el tipo que dirige el equipo de delitos cibernéticos le pidió a su gente que creara una hoja de cálculo en la que clasificaran a los objetivos según el valor de lo que podían obtener de cada víctima», dijo Paller. «Y luego, además de eso, probablemente pusieron un puntaje de qué tan buenos son los cazadores de malware en los objetivos, y dijeron que primero vayamos tras los de mayor prioridad que tienen un puntaje de cazador de menos de una cierta cantidad».

La brecha en SolarWinds bien podría convertirse en un evento existencial para la empresa, dependiendo de cómo reaccionen los clientes y cómo SolarWinds sea capaz de capear las demandas que seguramente se producirán.

“Se acercan las demandas y espero que tengan un buen abogado general”, dijo James Lewis, vicepresidente senior de la Centro de Estudios Estratégicos e Internacionales. «Ahora que el gobierno le está diciendo a la gente que apague el program (SolarWinds), la pregunta es ¿alguien lo volverá a encender?»

Según su presentación ante la SEC, los ingresos totales de los productos Orion en todos los clientes, incluidos aquellos que pueden haber tenido una instalación de los productos Orion que contenían la actualización maliciosa, fueron de aproximadamente $ 343 millones, o aproximadamente el 45 por ciento de los ingresos totales de la empresa. El precio de las acciones de SolarWinds ha caído un 25% desde que se conoció por primera vez la infracción.

Algunas de las consecuencias legales y reglamentarias pueden depender de lo que SolarWinds sabía o debería haber sabido sobre el incidente, cuándo y cómo respondió. Por ejemplo, Vinoth Kumar, un «cazador de errores» de ciberseguridad que ha ganado recompensas en efectivo y el reconocimiento de varias empresas por informar fallas de seguridad en sus productos y servicios, publicado en Twitter que notificó a SolarWinds en noviembre de 2019 que el sitio net de descarga de program de la compañía estaba protegido por una contraseña uncomplicated que se publicó en el repositorio de código de SolarWinds en Github.

Andrew Morris, fundador de la firma de seguridad Inteligencia de ruido gris, en dijo que a partir del martes por la noche SolarWinds aún no había eliminado las actualizaciones del software Orion comprometidas de su servidor de distribución.

Otra pregunta abierta es cómo o si el Congreso entrante y la administración presidencial de los EE. UU. Reaccionarán a este evento de ciberseguridad aparentemente amplio. Lewis, del CSIS, dice que duda de que los legisladores puedan llegar a un acuerdo sobre una respuesta legislativa, pero dijo que es probable que la administración Biden haga algo.

“Será un buen enfoque nuevo para el DHS, y la administración puede emitir una orden ejecutiva que diga que las agencias federales con autoridad reguladora deben administrar mejor estas cosas”, dijo Lewis. «Pero quien hizo esto no podría haber elegido un mejor momento para causar un problema, porque su momento casi garantiza una respuesta torpe de Estados Unidos».


Etiquetas: Alan Paller, Andrew Morris, Centro de Estudios Estratégicos e Internacionales, CISA, Agencia de Seguridad de Infraestructura y Ciberseguridad, FireEye, GreyNoise Intelligence, James Lewis, microsoft, application Orion, Instituto SANS, Violación de SolarWinds, Comisión de Bolsa y Valores de EE. UU., Vinoth Kumar

Esta entrada se publicó el martes 15 de diciembre de 2020 a las 12:41 p.m. y está archivada en Violaciones de datos.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia initial