Microsoft se declara impotente ante hackers de SolarWinds

SolarWinds Inc. es una empresa estadounidense que desarrolla software para administrar redes de empresas y sistemas e infraestructura de tecnología de la información.

Con 300.000 clientes en el mundo, SolarWinds Inc. ha adquirido otras empresas, incluyendo Pingdom, Papertrail y Loggly.

Un producto de SolarWinds, Orion, utilizado por 33.000 clientes del sector público y privado, fue el foco de un ataque a gran escala 'blanqueado' en diciembre de 2020 pero que ocurrió desde mucho antes sólo que no había sido detectado por los damnificados.

En febrero de 2021, el presidente de Microsoft, Brad Smith, dijo que era "el ataque más grande y sofisticado que jamás se haya visto en el mundo".

La intrusión en SolarWinds le permitió a los intrusos puntos de apoyo en al menos 9 agencias federales y 100 empresas privadas, comenzando por Microsoft y la empresa de ciberseguridad FireEye. Esto le permitió posiciones de ataque más allá del software SolarWinds. Los funcionarios del gobierno dicen que el 30% de las víctimas no usaban productos SolarWinds.

Lo nuevo

En una campaña que se remonta a mayo de 2021, los piratas informáticos se han dirigido a más de 140 empresas de tecnología, incluidas las que administran o revenden servicios de computación en la nube, según Microsoft Corp.

"Esta actividad reciente es otro indicador de que Rusia está tratando de obtener acceso sistemático a largo plazo a una variedad de puntos en la cadena de suministro de tecnología", dijo Tom Burt, vicepresidente corporativo en Microsoft para Seguridad y Confianza del Cliente de Microsoft.

Los expertos en seguridad de Microsoft dicen que el incidente 2020 en SolarWinds exhibió cómo una presencia en un eslabón muy utilizado en la cadena de suministro de tecnología podría convertirse en un punto de partida para futuros ataques.

Después de que los funcionarios del gobierno atribuyeran al servicio de inteligencia exterior de Rusia todo el incidente SolarWinds, la Administración Biden castigó en abril a Moscú por el ataque y otras supuestas actividades cibernéticas maliciosas con sanciones financieras y expulsiones diplomáticas.

Rusia siempre negó cualquier participación de sus agencias en el ataque.

Ahora Microsoft dice que observó al grupo vinculado al ataque SolarWinds, contra 609 empresas en una sucesión de 22.868 veces entre el 01/07/2021 y el 19/10/2021.

Es una cantidad que triplica los ataques ejecutados en los 3 años anteriores, agregó Burt.

solar winds.jpg

SolarWinds, sede de una empresa que fue perforada por Rusia.

La bomba

El 13/12/2020, The Washington Post informó que varias agencias gubernamentales fueron violadas a través del software Orion, de SolarWinds. La compañía declaró en una presentación ante la SEC (Securities and Exchange Commission) que casi 18.000 de sus 33.000 clientes de Orion se vieron afectados, involucrando las versiones lanzadas entre marzo de 2020 y junio de 2020.

Según Microsoft, los piratas informáticos adquirieron acceso de superusuario al token SAML -firma de certificados, que se usó para falsificar nuevos tokens que permitieran a los piratas informáticos un acceso confiable y con privilegios elevados a las redes. La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió la Directiva de Emergencia 21-01 en respuesta al incidente, aconsejando a todas las agencias civiles federales que inhabiliten Orion.

Se informó que APT29, también conocido como 'Cozy Bear', que trabaja para el Servicio de Inteligencia Exterior de Rusia (SVR), estuvo detrás del ataque de 2020 a

• la firma de seguridad cibernética FireEye,
• el Departamento del Tesoro,
• el Departamento de Comercio de Estados Unidos,
• la Administración de Información Nacional de Telecomunicaciones, y el Departamento de Seguridad Nacional.

Todavía se desconoce si otros clientes internacionales de SolarWinds fueron afectados:

• la Organización del Tratado del Atlántico Norte (OTAN),
• el Parlamento Europeo y
• el Ministerio de Defensa del Reino Unido,
• el Servicio Nacional de Salud (NHS) del Reino Unido,
• El Ministerio del Interior del Reino Unido y
• AstraZeneca.

Problema para Biden

La revelación de las supuestas actividades de Rusia se produce cuando la Administración Joe Biden tratado de reducir la agresión cibernética de Moscú.

Un funcionario del gobierno dijo que los últimos intentos de intrusión parecían parte un trabajo de piratería de rutina de Rusia.

Opinión de funcionario no identificado:

Según los detalles de lo publicado en el blog de Microsoft, las actividades descritas fueron rociado de contraseñas y suplantación de identidad no sofisticados, operaciones corrientes con el propósito de vigilancia que ya sabemos que Rusia y otros gobiernos extranjeros intentan todos los días. Según los detalles de lo publicado en el blog de Microsoft, las actividades descritas fueron rociado de contraseñas y suplantación de identidad no sofisticados, operaciones corrientes con el propósito de vigilancia que ya sabemos que Rusia y otros gobiernos extranjeros intentan todos los días.

El funcionario dijo que los intentos de intrusión "podrían haberse evitado si los proveedores de servicios en la nube hubieran implementado prácticas de ciberseguridad básicas, incluida la autenticación multifactor".

La ciberseguridad de la cadena de suministro ha atraído un interés sin precedentes en Washington durante los últimos meses, en parte debido al impacto devastador y de amplio alcance de lo sucedido con SolarWinds.

La Cámara de Representantes aprobó un proyecto de ley 412-2 que requeriría que el Departamento de Seguridad Nacional emita una guía a los contratistas federales pidiéndoles que envíen detalles del software en sus propias cadenas de suministro, incluidos los orígenes de la tecnología.

Antes, una orden ejecutiva firmada por el presidente Biden en mayo, creó estándares de ciberseguridad de referencia para las agencias estadounidenses y sus contratistas de software, incluidos los mandatos para usar autenticación multifactor y cifrado de datos.

General Paul Nakasone, director de la Agencia de Seguridad Nacional y el Comando Cibernético:

El incidente de SolarWinds fue un punto de inflexión para nuestra nación. El incidente de SolarWinds fue un punto de inflexión para nuestra nación.