Lo último sobre SolarWinds Hack de SVR


Lo último sobre SolarWinds Hack de SVR

los New York Instances tiene una profundidad artículo en la información más reciente sobre el hack de SolarWinds (no es un gran nombre, ya que tiene mucho más alcance que eso).

Entrevistas con actores clave que investigan lo que las agencias de inteligencia creen que es una operación de la S.V.R. de Rusia. El servicio de inteligencia reveló estos puntos:

  • La brecha es mucho más amplia de lo que se creía. Las estimaciones iniciales eran que Rusia envió sus sondas solo a unas pocas docenas de las 18.000 redes gubernamentales y privadas a las que obtuvieron acceso cuando insertaron el código en el software package de administración de redes fabricado por una empresa de Texas llamada SolarWinds. Pero a medida que empresas como Amazon y Microsoft que brindan servicios en la nube buscan más pruebas, ahora parece que Rusia explotó varias capas de la cadena de suministro para obtener acceso a hasta 250 redes.
  • Los piratas informáticos gestionaron su intrusión desde servidores dentro de los Estados Unidos, explotando las prohibiciones legales de la Agencia de Seguridad Nacional de participar en la vigilancia nacional y eludiendo las ciberdefensas desplegadas por el Departamento de Seguridad Nacional.
  • Los sensores de «alerta temprana» colocados por Cyber ​​Command y la Agencia de Seguridad Nacional en lo profundo de redes extranjeras para detectar ataques en gestación claramente fallaron. Tampoco hay indicios todavía de que alguna inteligencia humana haya alertado a los Estados Unidos sobre la piratería.
  • El énfasis del gobierno en la defensa electoral, si bien es crítico en 2020, puede haber desviado recursos y atención de problemas de larga info como la protección de la «cadena de suministro» de computer software. También en el sector privado, las empresas que se centraron en la seguridad electoral, como FireEye y Microsoft, ahora están revelando que fueron violadas como parte de un ataque más grande a la cadena de suministro.
  • SolarWinds, la compañía que los piratas informáticos utilizaron como conducto para sus ataques, tenía un historial de seguridad mediocre para sus productos, lo que la convierte en un objetivo fácil, según empleados e investigadores del gobierno actuales y anteriores. Su director ejecutivo, Kevin B. Thompson, quien deja su trabajo después de 11 años, ha eludido la pregunta de si su empresa debería haber detectado la intrusión.
  • Parte del software program SolarWinds comprometido se diseñó en Europa del Este, y los investigadores estadounidenses ahora están examinando si la incursión se originó allí, donde los agentes de inteligencia rusos están profundamente arraigados.

Por separado, parece que el SVR conducido un ensayo del ataque cinco meses antes del ataque serious:

Los piratas informáticos distribuyeron archivos maliciosos de la red SolarWinds en octubre de 2019, cinco meses antes de que los archivos informados anteriormente se enviaran a las víctimas a través de los servidores de actualización de software program de la empresa. Sin embargo, los archivos de octubre, distribuidos a los clientes el 10 de octubre, no tenían una puerta trasera incorporada, de la forma en que lo hicieron los archivos maliciosos posteriores que las víctimas descargaron en la primavera de 2020, y estos archivos no fueron detectados hasta este mes.

(…)

“Esto nos dice que el actor tuvo acceso al entorno de SolarWinds mucho antes de este año. Sabemos que, como mínimo, tuvieron acceso el 10 de octubre de 2019. Pero ciertamente habrían tenido que tener acceso por más tiempo ”, dice la fuente. «Así que esa intrusión (en SolarWinds) tiene que originarse probablemente al menos un par de meses antes de eso, probablemente al menos a mediados de 2019 (si no antes)».

Los archivos distribuidos a las víctimas en octubre de 2019 fueron firmados con un certificado legítimo de SolarWinds para que parezcan ser un código auténtico para el program Orion Platform de la compañía, una herramienta utilizada por los administradores del sistema para monitorear y configurar servidores y otro components de computadora en su purple.

Publicado el 5 de enero de 2021 a las 6:42 AM •
2 comentarios



Enlace a la noticia authentic