Más sobre la violación de SolarWinds


Más sobre la violación de SolarWinds

los New York Situations tiene más detalles.

Aproximadamente 18.000 usuarios privados y gubernamentales descargaron una actualización de software program contaminada con Rusia, una especie de caballo de Troya, que dio a sus piratas informáticos un punto de apoyo en los sistemas de las víctimas, según SolarWinds, la empresa cuyo software se vio comprometido.

Entre quienes utilizan el software program SolarWinds se encuentran los Centros para el Command y la Prevención de Enfermedades, el Departamento de Estado, el Departamento de Justicia, partes del Pentágono y varias empresas de servicios públicos. Si bien la presencia del program no es por sí misma evidencia de que cada pink se haya visto comprometida y se haya robado información, los investigadores pasaron el lunes tratando de comprender el alcance del daño en lo que podría ser una pérdida significativa de datos estadounidenses para un atacante extranjero.

Es poco probable que el SVR (sucesor de la KGB) haya penetrado en todas esas redes. Pero es possible que hayan penetrado en muchos de los importantes. Y que se han enterrado en esas redes, dándoles acceso persistente incluso si esta vulnerabilidad está parcheada. Este es un golpe de inteligencia masivo para los rusos y un fracaso para los estadounidenses, incluso si no se tocaron redes secretas.

Mientras tanto, CISA ha dirigido todos para eliminar SolarWinds de sus redes. Esto es (1) demasiado tarde para importar y (2) es probable que tarde muchos meses en completarse. Sin embargo, probablemente sea la respuesta correcta.

Esto es casi demasiado estúpido para creer:

En un problema que no se había informado anteriormente, varios delincuentes se han ofrecido a vender el acceso a las computadoras de SolarWinds a través de foros clandestinos, según dos investigadores que tenían acceso por separado a esos foros.

Uno de los que ofrecieron acceso reclamado al foro Exploit en 2017 se conocía como «fxmsp» y el FBI lo busca «por estar involucrado en varios incidentes de alto perfil», dijo Mark Arena, director ejecutivo de la firma de inteligencia de delitos cibernéticos Intel471. Arena informó a los clientes de su empresa, que incluyen a las fuerzas del orden de EE. UU.

El investigador de seguridad Vinoth Kumar dijo a Reuters que, el año pasado, alertó a la empresa de que cualquiera podía acceder al servidor de actualizaciones de SolarWinds utilizando la contraseña «solarwinds123».

«Esto podría haberlo hecho cualquier atacante, fácilmente», dijo Kumar.

Ni la contraseña ni el acceso robado se consideran la fuente más probable de la intrusión actual, dijeron los investigadores.

Esa última frase es importante, sí. Pero la práctica de seguridad descuidada probablemente no sea un incidente aislado y habla de la falta basic de cultura de seguridad en la empresa.

Y noté que SolarWinds tiene eliminó su página de cliente, presumiblemente como parte de sus esfuerzos de management de daños. Lo cité. ¿Alguien guardó una copia?

Publicado el 17 de diciembre de 2020 a las 2:18 p.m. •
10 comentarios



Enlace a la noticia authentic