Microsoft y FireEye confirman el ataque a la cadena de suministro de SolarWinds

Los grupos APT no son todos de Rusia, China y Corea del Norte Ver ahora Los piratas informáticos que se cree que operan en nombre de un gobierno extranjero han violado el proveedor de software SolarWinds y luego implementaron una actualización con malware para su software Orion para infectar las redes de múltiples empresas estadounidenses y redes gubernamentales, dijo hoy la firma de seguridad estadounidense FireEye. El informe de FireEye se produce después de que Reuters, el Washington Post y Wall Street Journal informaron sobre las intrusiones del domingo en el Departamento del Tesoro de Estados Unidos y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de Estados Unidos. El ataque a la cadena de suministro de SolarWinds también es la forma en que los piratas informáticos obtuvieron acceso a la propia red de FireEye, que la compañía reveló a principios de esta semana. The Washington Post citó fuentes que afirman que muchas otras agencias gubernamentales también se vieron afectadas. Reuters informó que el incidente se consideró tan grave que llevó a una rara reunión del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca, un día antes, el sábado. Fuentes que hablaron con el Washington Post vincularon la intrusión a APT29, un nombre en clave utilizado por la industria de la seguridad cibernética para describir a los piratas informáticos asociados con el Servicio de Inteligencia Exterior de Rusia (SVR).
FireEye no confirmó la atribución de APT29 y le dio al grupo un nombre en clave neutral de UNC2452, aunque varias fuentes de la comunidad de seguridad cibernética le dijeron a ZDNet que la atribución de APT29, realizada por el gobierno de los EE. UU., Es probablemente correcta, según la evidencia actual. En las alertas de seguridad enviadas a sus clientes en privado el domingo, Microsoft también confirmó el compromiso de SolarWinds y proporcionó contramedidas a los clientes que pueden haber sido afectados. SolarWinds publicó un comunicado de prensa a última hora del domingo admitiendo la violación de Orion, una plataforma de software para el monitoreo y la administración centralizados, que generalmente se emplea en grandes redes para realizar un seguimiento de todos los recursos de TI, como servidores, estaciones de trabajo, móviles y dispositivos de IoT. < br> La empresa de software dijo que las versiones de actualización de Orion 2019.4 a 2020.2.
1, lanzadas entre marzo de 2020 y junio de 2020, se han contaminado con malware. FireEye nombró a este malware SUNBURST y publicó un informe técnico hoy, junto con las reglas de detección en GitHub. Microsoft nombró al malware Solorigate y agregó reglas de detección a su antivirus Defender.
Imagen: Microsoft No se reveló el número de víctimas. A pesar de los informes iniciales del domingo y la campaña de piratería no parece haber estado dirigida específicamente a los EE. UU. "La campaña está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo", dijo FireEye.
"Las víctimas han incluido entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente. Anticipamos que habrá víctimas adicionales en otros países y verticales", agregó FireEye. SolarWinds dijo que planea lanzar una nueva actualización (2020.
2.1 HF 2) el martes 15 de diciembre, que "reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales". La Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) también ha emitido una directiva de emergencia con instrucciones sobre cómo las agencias gubernamentales pueden detectar y analizar sistemas comprometidos con el malware SUNBURST.
Actualice 23:45 ET para agregar la información sobre las alertas de seguridad de Microsoft y CISA.