SolarWinds no es el único vector de ataque inicial …



La agencia dice que tiene «evidencia de vectores de acceso inicial adicionales» además del application Orion de SolarWinds.

En otro giro de la importante campaña de espionaje cibernético recientemente revelada llevada a cabo por aparentes actores estatales rusos, la plataforma de administración de pink de SolarWinds no fue el único vector de infección inicial para los ataques sofisticados, según el Departamento de Seguridad Nacional de EE. UU. Agencia (CISA).

CISA reveló ese jugoso tidbit hoy en una alerta de actividad cibernética que llama a los ataques un «riesgo grave» para las agencias gubernamentales, las organizaciones de infraestructura crítica y el sector privado. Inicialmente, se pensó que la plataforma de gestión de pink SolarWinds Orion era el principal vector de ataque los atacantes inyectaron malware en la aplicación SolarWinds, por lo que cuando los usuarios instalaron una actualización, se infectaron con el código sigiloso.

«CISA tiene evidencia de vectores de acceso inicial adicionales, además de la plataforma SolarWinds Orion sin embargo, estos aún están siendo investigados. CISA actualizará esta Alerta a medida que haya nueva información disponible», dijo la agencia en el informe.

La agencia está investigando incidentes en los que las víctimas se vieron comprometidas en la misma campaña pero sin el código malicioso de Orion. También señalan el informe del proveedor de seguridad Volexity sobre un grupo de expertos que se vio comprometido a través de un ataque que pasó por alto Duo y otra autenticación multifactor para llegar a su aplicación website Outlook.

«Volexity atribuye esta intrusión a la misma actividad que el compromiso de la cadena de suministro de SolarWinds Orion, y los TTP son consistentes entre los dos. Esta observación indica que hay otros vectores de acceso inicial más allá de SolarWinds Orion, y es posible que todavía haya otros que aún no lo son. conocido «, dijo CISA.

Duo, mientras tanto, dijo que los incidentes descritos en el informe Volexity «no se debieron a ninguna vulnerabilidad en los productos de Duo». El atacante pudo obtener acceso privilegiado a las credenciales de integración de OWA desde «un entorno de cliente comprometido existente, como un servidor de correo electrónico», según Duo.

CISA reiteró la seriedad de la campaña de ataque en general: «Este es un adversario paciente, bien dotado y enfocado que ha mantenido una actividad de larga duración en las redes de víctimas. Las organizaciones con presuntos compromisos deben ser muy conscientes de la seguridad operativa, incluso al participar en actividades de respuesta a incidentes y planificación e implementación de planes de remediación «.

El ataque fue expuesto por primera vez a principios de este mes cuando FireEye reveló que había detectado una brecha que también robaba sus herramientas del equipo rojo.

Lee mas aquí.

Kelly Jackson Higgins es la editora ejecutiva de Dark Studying. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, incluidas Community Computing, Secure Enterprise … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic