Al menos 200 organizaciones, incluidas agencias gubernamentales y empresas de todo el mundo, fueron pirateadas como parte de un presunto ciberataque ruso que implantó un código malicioso en un programa de software ampliamente utilizado.
El número de víctimas reales de piratería ha sido una de las muchas preguntas sin respuestas en torno al ciberataque, que utilizó una puerta trasera en el software de gestión de red Orion de SolarWinds como base para futuros ataques.
Recorder Future, una empresa de ciberseguridad con sede en Massachusetts, identificó 198 víctimas que fueron pirateadas utilizando la puerta trasera de SolarWinds, dijo el analista de amenazas, Allan Lidia.
Otras tres personas dijeron que la investigación hasta ahora ha determinado que los piratas informáticos comprometieron aún más, al menos 200 víctimas, moviéndose dentro de las redes informáticas o intentando obtener credenciales del usuario, lo que los expertos de seguridad llaman actividad de ‘manos en el teclado’. El número de víctimas al final podría aumentar.
De los aproximadamente 18,000 clientes de SolarWinds que recibieron la actualización infectada, más de 1,000 experimentaron el código malicioso haciendo ping a un servidor de ‘comando de control’ de segunda etapa operado por piratas informáticos, lo que les da la opción de ingresar más en la red.
Los piratas informáticos utilizan servidores de comando y control para administrar el código malicioso una vez que están adentro de una red de destino. De los más de 1,000, los investigadores han determinado hasta ahora al menos 200 fueron pirateados.
El siguiente paso sería que los propios piratas informáticos se filtraran en la red informática.
Los piratas afiliados al gobierno ruso han sido sospechosos desde el principio, y el viernes el secretario de Estado Michael Pompeo proporcionó una confirmación en una entrevista.
‘Hubo un esfuerzo significativo para usar una pieza de software de terceros para incrustar esencialmente el código dentro de los sistemas del gobierno de Estados Unidos, y ahora parece que son sistemas de empresas privadas y empresas y gobiernod de todo el mundo’, dijo Pompeo. ‘Este fue un esfuerzo muy significativo, y creo que es cierto que ahora podemos decir con bastante claridad que fueron los rusos quienes participaron en esta actividad’.
Una importante agencia de ciberseguridad de Estados Unidos emitió una alerta el jueves diciendo que los piratas informáticos representaban un ‘grave riesgo’ para los gobiernos federal, estatal y local, así como para la infraestructura crítica y el sector privado.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), dijo que los atacantes eran pacientes, contaban con buenos recursos y demostraron sofisticación y habilidad comercial compleja.
Microsoft dijo el jueves que 40 de sus clientes habían sido pirateados, que los ataques estaban en curso y que se espera que aumente el número de víctimas. Entre los afectados se encontraban empresas de ciberseguridad anónimas, agencias gubernamentales y contratistas gubernamentales, de los cuales aproximadamente el 80% se encuentran en Estados Unidos.
La empresa de ciberseguridad FireEye fue la primera víctima en revelar que había sido pirateada el 8 de diciembre, y dijo que mientras investigaban su propia infracción, los investigadores de la empresa descubrieron una puerta trasera de SolarWinds.
La propia Microsoft dijo que encontró la actualización maliciosa de SolarWinds dentro de su red, pero que no encontró evidencia de acceso a ‘servicios de producción o datos de clientes’.
