En los últimos días, The Hack informó sobre invasiones cibernéticas dirigidas a FireEye y, posteriormente, a varias entidades gubernamentales de EE. UU.. Si bien las investigaciones aún continúan, todo indica que esta cadena de ataques solo fue posible gracias a la apuesta del software de SolarWinds, líder mundial en la prestación de servicios de TI y que cuenta con más de 300 mil clientes en todo el mundo.
Microsoft también es cliente de la marca, y el jueves (17), reveló haber sido otra víctima de la maniobra maliciosa. “Al igual que otros clientes de SolarWinds, hemos estado buscando activamente indicadores de este actor y podemos confirmar que hemos detectado binarios de SolarWinds maliciosos en nuestro entorno, que hemos aislado y eliminado. No encontramos evidencia de acceso a servicios de producción o datos de clientes ”, dice.
Según Mountain View Giant, las investigaciones hasta la fecha muestran que, al parecer, sus sistemas y recursos no se utilizaron para atacar a terceros. Cabe señalar que, el mismo día, Brad Smith, actual presidente de la empresa, publicó un extenso comunicado describiendo este episodio como “un momento de ajuste de cuentas” y destacando los esfuerzos de Microsoft para combatir a este actor malicioso.
“Desafortunadamente, el ataque representa un amplio y exitoso ataque basado en el espionaje tanto contra la información confidencial del gobierno de EE. UU. Como contra las herramientas tecnológicas que utilizan las empresas para protegerla. El ataque está en curso y los equipos de seguridad cibernética de los sectores público y privado, incluido Microsoft, lo investigan y abordan activamente ”, explica Brad.
Además de revocar certificados para archivos troyanos y actualizar Windows Defender para identificar versiones maliciosas del complemento SolarWinds Orion Platform, también se asoció con el administrador de dominio GoDaddy para controlar el dominio avsvmcloud[.]com, que estaba siendo utilizado por delincuentes para administrar su centro de mando y control (C2).
Además, Brad señala que ha identificado al menos 40 clientes de SolarWinds que fueron atacados “con mayor precisión” y que se vieron “comprometidos mediante medidas sofisticadas adicionales”. Estos consumidores ya han sido notificados; El 80% de ellos tienen su sede en Estados Unidos, pero también hay empresas en Canadá, México, Bélgica, España, Reino Unido, Israel y Emiratos Árabes Unidos.
¿Qué sucedió?
La ola de ataques, que comenzó a identificarse el día 8 de este mes, aún permanece con varias incógnitas. Aparentemente, estamos viendo un ataque coordinado del grupo de piratería estatal ruso APT29 (más conocido como Cozy Bear) al gobierno de EE. UU. y empresas que brindan servicios de tecnología de la información y ciberseguridad.
Para iniciar el ataque, los atacantes lograron, de alguna manera, comprometer el sistema de compilación y distribución de software de SolarWinds, una multinacional que brinda servicios no solo a varias empresas vinculadas al gobierno estadounidense, sino también a las propias entidades públicas. Una vez que tenga éxito en ese compromiso, los actores infectaron un complemento para la plataforma SolarWinds Orion con un troyano.
La versión maliciosa del complemento, que, según las estimaciones, se ha descargado al menos 18.000 veces, crea una puerta trasera en el sistema de la víctima a través de malware que fue llamado Solorigate por Microsoft y SUNBURST por FireEye. Por lo tanto, la maniobra se clasifica como un ataque a la cadena de suministro, ya que SolarWinds (proveedor) fue atacado simplemente como un medio para llegar al objetivo principal (cliente).
See the original post at: https://thehack.com.br/microsoft-tambem-foi-vitima-de-ataque-cibernetico-que-comprometeu-a-solarwinds/?rand=48889
