Microsoft confirma que su purple fue violada con …



Atacar a miles de otras empresas como «momento de ajuste de cuentas» para los gobiernos y la industria, dice el presidente de la empresa.

Microsoft confirmó el viernes que su purple estaba entre las miles infectadas con actualizaciones de program contaminadas de SolarWinds, incluso cuando los nuevos datos que la compañía ha publicado sugieren que los probables actores rusos detrás de la campaña se centraron en un conjunto de objetivos más pequeño de lo que se pensaba originalmente.

Microsoft dijo el viernes que había detectado binarios de SolarWinds maliciosos en su entorno, que la compañía aisló y eliminó. Sin embargo, el gigante del application negó Reuters informe del jueves que afirmaba que los propios productos de Microsoft se usaban para distribuir malware a otras organizaciones de la misma manera que se abusaba de la tecnología de gestión de productos de purple Orion de SolarWinds.

«No hemos encontrado evidencia de acceso a servicios de producción o datos de clientes», dice un portavoz de Microsoft. «Nuestras investigaciones, que están en curso, no han encontrado absolutamente ningún indicio de que nuestros sistemas se hayan utilizado para atacar a otros». El portavoz dice que las fuentes del informe de Reuters probablemente estaban mal informadas o estaban malinterpretando su información.

SolarWinds reveló el lunes que los atacantes se habían infiltrado en su sistema de compilación de software e insertado código malicioso en las actualizaciones de program que la compañía envió posteriormente a 33.000 organizaciones en todo el mundo, de las cuales aproximadamente 18.000 lo instalaron. La compañía ha dicho que las actualizaciones que lanzó entre marzo y junio de 2020 estaban contaminadas.

Sin embargo, Cisco Talos el viernes dijo que su investigación muestra que el ataque parece haber sido iniciado ya en febrero. «Los binarios comprometidos parecen haber estado disponibles en el sitio website de SolarWinds hasta hace muy poco», dijo la compañía.

Entre las presuntas víctimas se encuentran el Departamento del Tesoro de los Estados Unidos, el Departamento de Justicia, el Departamento de Energía y la Administración Nacional de Seguridad Nuclear. El proveedor de seguridad FireEye y ahora Microsoft son dos proveedores de tecnología que han confirmado que fueron violados a través de las actualizaciones corruptas de SolarWinds.

FireEye descubrió la intrusión y la atribuyó a UNC2452, un actor de amenaza persistente avanzada (APT) que la compañía dice que no ha encontrado anteriormente. Según el proveedor, el actor de amenazas ocultó un troyano denominado SUNBURST en un componente firmado digitalmente en el producto de gestión de purple Orion de SolarWinds que luego se envió a miles de clientes de SolarWinds en todo el mundo. Mientras tanto, el proveedor de seguridad Volexity ha dicho que las tácticas, técnicas y procedimientos involucrados en los ataques de SolarWinds son similares a los utilizados por otro actor de amenazas que está rastreando como Darkish Halo.

El presidente de Microsoft, Brad Smith, dijo el jueves que el análisis de su empresa sobre el ciberataque masivo muestra que la instalación de SUNBURST les dio a los atacantes la oportunidad de explotar más de 17.000 organizaciones. Sin embargo, las investigaciones de la compañía hasta ahora muestran que solo 40 clientes fueron «seleccionados con mayor precisión y comprometidos a través de medidas adicionales y sofisticadas».

«Acto de imprudencia»
Alrededor del 80% de las organizaciones comprometidas se encuentran en los Estados Unidos, y el resto se encuentra disperso en siete países adicionales: Canadá, México, Bélgica, España, Israel y los Emiratos Árabes Unidos. «Es seguro que el número y la ubicación de las víctimas seguirá creciendo», dijo Smith en una empresa entrada en el website. La lista inicial de víctimas incluye organizaciones del sector de la tecnología de la información, el gobierno, los consider tanks y los contratistas gubernamentales.

Smith describió el ataque como un «momento de ajuste de cuentas» para el gobierno y la industria. «Desafortunadamente, el ataque representa un asalto amplio y exitoso basado en el espionaje tanto a la información confidencial del gobierno de Estados Unidos como a las herramientas tecnológicas utilizadas por las empresas para protegerlas», dijo.

Aunque aún no ha habido una atribución confirmada, muchos expertos en seguridad y funcionarios gubernamentales han señalado que los ataques fueron obra de un grupo APT con vínculos con el aparato de inteligencia de Rusia. De hecho, un mapa que Smith publicó identificando a los clientes de Home windows Defender que habían instalado las versiones contaminadas del software Orion de SolarWinds mostraba víctimas dispersas en muchos países, pero no en Rusia.

«Esto no es &#39espionaje como de costumbre&#39, incluso en la era electronic», advirtió Smith. «En cambio, representa un acto de imprudencia que creó una seria vulnerabilidad tecnológica para Estados Unidos y el mundo».

Un análisis del ataque que ese proveedor de seguridad Kaspersky publicado el viernes también sugirió que los actores de amenazas detrás de la campaña pueden haber estado realmente detrás de un subconjunto relativamente pequeño de las miles de organizaciones que habían violado.

Kaspersky dijo que había descubierto los binarios de SolarWinds envenenados en las redes que pertenecen a unos 100 de los clientes de la compañía. En cada caso, el malware SUNBURST fue diseñado para comunicar información sobre la computadora infectada al atacante. Solo si el atacante encontraba la información lo suficientemente interesante, respondía a la computadora infectada con un registro CNAME que apuntaba a un servidor de comando y control de segundo nivel diferente, dijo el proveedor.

«Por el momento, lo que les interesaba a los actores sigue siendo uno de los mayores misterios», dice Costin Raiu, jefe del equipo de análisis e investigación world-wide de Kaspersky.

La telemetría disponible muestra que los atacantes seguramente están interesados ​​en lo que les parece a las víctimas gubernamentales de alto perfil en varios países. También parecen estar interesados ​​en las empresas de telecomunicaciones, dice. «Por el momento, no tenemos suficientes datos para comprender completamente el propósito de esta operación y los objetivos, aunque cada día hay más datos disponibles, por lo que el panorama basic también podría mejorar».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original