SolarWinds es una empresa de tecnología de 20 años con sede en Austin, Texas, con ingresos proyectados para superar los mil millones de dólares este año. Según su sitio web, los clientes de SolarWinds incluyen Microsoft, McDonald’s, Lockheed Martin y Yahoo, así como muchos departamentos gubernamentales y militares en los EE. UU. Y en el extranjero.
El gobierno de Estados Unidos ha emitido una advertencia de emergencia sobre lo que parece ser una de las campañas de ciberespionaje más sofisticadas de los últimos años. Los piratas informáticos que trabajaban para un estado-nación lograron infiltrarse en el software utilizado por agencias gubernamentales clave y las empresas más grandes del mundo justo cuando Occidente entró en bloqueo a principios de este año.
https://www.ft.com/content/3558b9b6-465f-4338-9d66-70b2fbe8f900
Microsoft está al tanto de un sofisticado ataque de cadena de suministro dirigido a diversas víctimas en el último año. El ataque utiliza archivos maliciosos SolarWinds que posiblemente dieron a los ciberdelincuentes acceso a algunas redes de las víctimas. Los expertos en ciberseguridad de Microsoft están investigando el ataque para ayudar a garantizar que los clientes de Microsoft estén lo más seguros posible.
¿Quiénes eran los hackers y qué buscaban?
Los expertos en seguridad occidentales rápidamente señalaron con el dedo a Rusia, aunque no ha habido confirmación oficial. FireEye dijo: “La campaña es el trabajo de un actor altamente calificado y la operación se llevó a cabo con una seguridad operativa significativa“. FireEye fue la primera en dar la voz de alarma, después que le robaron herramientas de test de seguridad sin que nadie los detectase”. Para encontrar el fallo, FireEye necesitó de más de 100 empleados y una revisión de 50.000 líneas de código después de que uno de los trabajadores encontrara un extraño inició de sesión de un usuario.
Robert Hannigan, exdirector general de la agencia de inteligencia de señales del Reino Unido GCHQ, dijo que si bien aún era demasiado pronto para saber quién era el responsable, las agencias rusas tienen un historial de uso de actualizaciones de software para realizar ataques, como lo hicieron estos atacantes a través de Orion. Así fue como una unidad cibernética operada por el servicio de inteligencia militar GRU de Rusia implantó el virus NotPetya en el software de contabilidad ucraniano en 2017.
Algunos medios van más allá y el propio Wired asegura que esta historia es la de “cómo Rusia logró realizar el mayor ataque de espionaje jamás registrado”. ‘The Washington Post‘, por su parte, se atreve hasta a dar el nombre del equipo que estaría detrás y señala a un viejo conocido. Señalan a APT29 o Cozy Bear, el mismo grupo que ‘hackeó’ los servidores del Comité Nacional Demócrata antes de las elecciones presidenciales de 2016 o atacó el Departamento de Estado y la Casa Blanca durante la Administración Obama.
¿Qué ha pasado aquí y cómo han llegado tan lejos?
La historia es larga, y aún, casi dos semanas después de los primeros avisos, se siguen descubriendo nuevos puntos relativos a este caso, pero poco a poco ya se van conociendo más y más detalles.
Como explica el experto en ciberseguridad Sergio de los Santos, se trata de un sofisticado ataque muy preparado y estudiado a un punto clave del sistema y uno de los casos más interesantes de los últimos tiempos. Uno de esos movimientos que, sobre todo, muestra la fragilidad de nuestra ciberseguridad y la necesidad de asumir esos riesgos, ser transparentes y buscar la madurez del sector para luchar contra ellos. “Es una frase bastante manida, pero deja claro que esto es una cadena y que un fallo en el eslabón más débil puede afectarnos a todos, por mucho que el resto estén más que preparados. Y no pasa nada, tenemos que aprender a asumirlo y a responder”.
¿Cómo ha sido el ataque?
Como decíamos, la vía de entrada ha sido el programa Orion, pero el ataque no se hizo de cualquier manera. “Es lo que se suele llamar un ataque de ‘cadena de suministros’. Lo que hicieron fue troyanizar Orion y sustituir un paquete de actualización del programa por otro con ‘malware’ y hasta firmarlo con el ‘sello’ oficial de la compañía. Es algo supersofisticado y lo que consigues es que todo cliente que, lógicamente, se fíe de esa actualización acabe con el ‘malware’ dentro creyendo que se ha descargado un ‘update’ más, oficial y totalmente de confianza”, comenta De los Santos, que asemeja lo ocurrido a si un atacante cuela un producto en mal estado en un supermercado para impactar en los usuarios consiguiendo todos los sellos oficiales de la propia tienda.
¿Y ahora?
Sobre el futuro de todo el caso, De los Santos señala que aún es pronto para saberlo, pues ni siquiera se sabe ni lo que hicieron los atacantes dentro de todas las víctimas ni si han aprovechado otras puertas traseras o esas herramientas robadas a FireEye. Pero sí advierte de que debe servir como precedente para un cambio de mentalidad y un aviso de lo que puede pasar próximamente. “Debemos aprender que esto puede pasarle a cualquiera y que estamos en un momento en el que necesitamos transparencia y rapidez para actuar y defendernos como comunidad con madurez, si no es así será imposible contrarrestar estos ataques de forma individual y controlar los daños”, señala el experto.
En EEUU ya se ha puesto en tela de juicio sistemas que en teoría debían haber detectado lo sucedido y se ha pedido a la nueva Administración, presidida por Joe Biden, que ponga aún más atención a esta guerra cibernética. Habrá que ver si acaban tomando más medidas con respecto a la ciberseguridad, pero está claro que esto solo es un nuevo paso en la escalada de un conflicto cibernético global.
Orientación de Microsoft
A continuación se muestra una guía de comunicación lista para el cliente que puede aprovechar cuando deba comunicarse con ellos:
El 17 de diciembre de 2020, Brad Smith publicó una entrada de blog en la que compartió la información más actualizada, así como información técnica detallada para los defensores.
Como es una investigación continua, los equipos de ciberseguridad de Microsoft siguen siendo los primeros en responder ante estos ataques. Sabemos que los clientes y socios tendrán preguntas continuas y Microsoft se compromete a proporcionar actualizaciones oportunas a medida que haya información nueva disponible.
Hay una serie de recursos publicados por Microsoft para ayudar a los clientes a proteger sus entornos:
| • | Hemos publicado un blog que describe este panorama dinámico de amenazas y los principios con los que abordamos la investigación. |
| • | Hemos publicado un blog ancla con detalles técnicos del ataque. Este blog se actualizará con información nueva a medida que continúe la investigación. Los clientes deben acudir a este blog como único lugar para recibir actualizaciones sobre el ataque sofisticado. |
| • | El antivirus de Microsoft Defender y Microsoft Defender for Endpoint han lanzado protecciones para el software malicioso SolarWinds y otros artefactos del ataque. |
| • | Microsoft Azure Sentinel ha lanzado orientación para ayudar a los clientes de Azure Sentinel a buscar en sus entornos la actividad relacionada que hemos observado con este ataque sofisticado. |
| • | Los clientes de Microsoft 365 Defender y Microsoft Defender for Endpoint deben revisar el artículo Threat Analytics (Análisis de amenaza) en la consola de Defender (es necesario iniciar sesión) para obtener información sobre la detección y el potencial impacto para sus entornos. |
| • | Para cualquier cliente de Microsoft Threat Experts (MTE), donde hemos observado actividad sospechosa en los entornos de los clientes, hemos completado las Notificaciones de cuentas dirigidas. |
| • | Si un cliente tiene alguna necesidad relacionada con el soporte técnico del producto, siga remitiéndolo al soporte técnico de Microsoft (CSS) que sigue siendo el lugar principal para atender todas las necesidades de soporte al cliente. |
| • | Para los profesionales de identidad y el administrador de Microsoft 365, hemos publicado un blog con orientación sobre cómo proteger Microsoft 365 de los ataques locales. |
Publicaremos las actualizaciones en nuestro blog de noticias de acuerdo a las publicaciones realizadas por el Centro de respuesta de seguridad de Microsoft (MSRC), en https://aka.ms/solorigate.
Para recibir las actualizaciones de esta y más noticias de ciberseguridad y protección de datos regístrese en nuestro Boletín de noticias:
Nota: Al registrarse recibirá un correo de confirmación. Revise su bandeja de correo no deseado o bandeja de entrada.