El ataque comenzó mucho antes de …



La investigación muestra que los actores de amenazas comenzaron a investigar la red de SolarWinds en enero de 2019, según Sudhakar Ramakrishna.

CONFERENCIA RSA 2021: el ataque a SolarWinds que resultó en la distribución de malware a miles de clientes de la compañía comenzó ocho meses antes de lo que se pensaba.

En una sesión de apertura en la Conferencia RSA de hoy, el CEO de SolarWinds, Sudhakar Ramakrishna, dijo que la investigación continua de la compañía sobre la violación muestra que el grupo de estado-nación detrás de ella comenzó a sondear la pink de SolarWinds en enero de 2019. La brecha permaneció sin ser detectada hasta diciembre de 2020, o casi dos años completos después de la actividad maliciosa inicial.

Anteriormente, se creía ampliamente que los atacantes obtuvieron acceso por primera vez a los sistemas de SolarWinds en octubre de 2019.

Según Ramakrishna, los investigadores de violaciones evaluaron cientos de terabytes de datos y miles de sistemas de compilación virtual antes de tropezar con alguna configuración de código antiguo que apuntaba exactamente a lo que hicieron los atacantes para obtener el acceso inicial. Ramakrishna no ofreció ningún detalle sobre qué podría haber sido eso específicamente. Pero en una audiencia del Congreso a principios de este año, el ex director ejecutivo de SolarWinds, Kevin Thompson, culpados la violación de un pasante que publicó públicamente una contraseña en un servidor de transferencia de archivos clave en GitHub.

Ramakrishna lamentó esos comentarios.

«Lo que sucedió en la audiencia del Congreso donde atribuimos (la violación) a un pasante no es lo que estamos tratando», señaló. «Hemos aprendido de eso».

Los investigadores de seguridad y los expertos de la industria han descrito ampliamente la brecha de SolarWinds como uno de los incidentes de seguridad más importantes de los últimos años, tanto por su alcance como por su sofisticación. Los detalles sobre la violación que se han publicado hasta ahora indican que el ataque comenzó cuando los actores de amenazas obtuvieron acceso inicial al entorno de compilación de SolarWinds y colocaron un malware llamado «Sunspot» en un solo archivo de código fuente. Utilizaron el malware para insertar una puerta trasera llamada Sunburst / Solarigate en las compilaciones del producto de gestión de purple Orion de SolarWind, que luego se firmaron digitalmente y se enviaron a 18.000 clientes de SolarWinds.

Un pequeño subconjunto de esas víctimas, del gobierno y el sector privado, fueron posteriormente sometidas a más intrusiones y actividades de ciberespionaje destinadas a extraer datos confidenciales. Las víctimas del robo de datos incluyeron varias empresas de tecnología, como Microsoft y FireEye. El ataque y el extraordinario sigilo operativo con el que se llevó a cabo han provocado una preocupación generalizada sobre la vulnerabilidad de las empresas y agencias gubernamentales estadounidenses a los actores sofisticados del estado-nación.

Las autoridades estadounidenses han atribuido el ataque a un grupo de amenazas que trabaja en nombre del grupo de servicios de inteligencia extranjeros de Rusia. FireEye, uno de los proveedores de seguridad que ha estado investigando la violación, está rastreando al grupo como UNC2542.

En su discurso de apertura, Ramakrishna dijo que la técnica comercial que los atacantes utilizaron para violar la red de SolarWinds y permanecer ocultos en ella durante casi dos años era extremadamente sofisticada.

«Hicieron todo lo posible para esconderse a plena vista», dijo. «Dada la cantidad de tiempo que pasaron y dada la &#39deliberación&#39 (de) su esfuerzo, pudieron cubrir las huellas dactilares y sus huellas en cada paso del camino».

Dados los recursos que tenían los atacantes, era muy difícil para una empresa como SolarWinds descubrir la brecha, dijo el CEO.

en un panel de discusión En marzo, Ramakrishna describió a SolarWinds como buscando la posibilidad de ejecutar dos o incluso tres sistemas de compilación de application en paralelo para mitigar el riesgo de que algo identical vuelva a suceder. La compañía también ha otorgado al CISO Tim Brown la autonomía para evitar que los lanzamientos entren en producción simplemente por razones de tiempo de comercialización. Además, SolarWinds ha establecido un nuevo comité de ciberseguridad a nivel de directorio para garantizar un enfoque de seguridad de arriba hacia abajo en la empresa.

En un comentario de hoy en la conferencia magistral, Ramakrishna defendió el historial de Brown antes y después de la violación.

«No me gusta azotar los fracasos, por así decirlo», dijo. «Ni siquiera está claro que esta falla sea culpa de una persona. Cuando un estado-nación ataca su purple, es imposible que una persona pueda frustrarla o asumir la responsabilidad full».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial