Atlantic.Net proporciona este aviso de seguridad como noticia; queremos asegurar a nuestros clientes que Atlantic.Net no utiliza ningún producto de SolarWinds internamente ni en ninguna de nuestras ofertas de servicios.
Las empresas, las organizaciones y las instituciones gubernamentales se están recuperando de las consecuencias del ataque a SolarWinds. La historia de esta brecha de seguridad de gran alcance se conoció alrededor del 14 de diciembre de 2020, e incluso ahora no sabemos el impacto total del incidente. Cada día aprendemos más sobre el alcance de este ciberataque sin precedentes a la cadena de suministro.
Lo que sí sabemos es que en marzo de 2020, los piratas informáticos vararon la infraestructura informática de SolarWinds y obtuvieron el control de los servidores de administración de contenido de SolarWinds. En abril de 2020, los malhechores incrustaron malware sofisticado dentro de las actualizaciones de SolarWinds "genuinas" firmadas digitalmente.
Las actualizaciones afectadas fueron las actualizaciones automáticas que las computadoras cliente buscan al descargar parches de seguridad y revisiones para las aplicaciones Orion de SolarWinds. Esta práctica de actualización de software ampliamente confiable es utilizada por innumerables empresas de tecnología en todo el mundo.
Para los clientes de SolarWinds que descargaron e instalaron la actualización envenenada, los piratas informáticos utilizaron la actualización comprometida para inyectar una carga útil de malware llamada SUNBURST en los servidores de los clientes comprometidos. Aparentemente, el malware permaneció inactivo durante aproximadamente 2 semanas, probablemente para evadir la detección, antes de ser activado por un sitio de comando y control (C2) utilizando subdominios recopilados por el malware.
Los expertos en seguridad creen que el malware permaneció inactivo desde abril hasta julio de 2020, escondiéndose a simple vista, y muchos creen que los actores de amenazas utilizaron este período para el reconocimiento de objetivos para identificar los objetivos de mayor valor. Si bien no sabemos qué datos se vieron comprometidos, sabemos que es probable que se hayan violado los datos de Office 365, posiblemente desde OneDrive, documentos de Word, sitios de Sharepoint, etc.
La lista de víctimas de alto perfil crece a diario. Se sabe que algunos de los nombres más importantes en tecnología y gobierno han sido violados. Muchos expertos en seguridad especulan que el ataque fue orquestado por Rusia, una opinión respaldada por una declaración conjunta emitida por el FBI, CISA, ODNI y la NSA que afirma que los atacantes probablemente eran rusos.
La CISA estaba tan preocupada por la brecha que el 14 de diciembre ordenó que todos los sistemas gubernamentales no militares que ejecutaban el software SolarWinds Orion se cerraran y desconectaran de la red.
¿Qué es un ataque a la cadena de suministro?
Un ataque a la cadena de suministro es un incidente de seguridad que ocurre cuando un actor malicioso se infiltra en el sistema de un objetivo explotando a un socio externo o proveedor de servicios para obtener acceso no autorizado a los sistemas y archivos de datos del objetivo.
Las empresas globales están más conectadas ahora que nunca en la historia. La computación en la nube e Internet han proporcionado las herramientas que permiten a las empresas compartir rápidamente grandes cantidades de datos comerciales confidenciales. Como práctica normal, las empresas compran software y hardware entre sí para mejorar sus propias ofertas a sus clientes. En este ataque a la cadena de suministro, las empresas, las organizaciones globales y las instituciones del gobierno de los EE. UU. compraron el sistema de gestión de red SolarWinds Orion para obtener información sobre sus redes.
Las verdaderas víctimas del hackeo no son SolarWinds, sino los 18 000 clientes que nunca esperaron ser víctimas de un sofisticado hackeo sobre el que no tenían control, un hackeo que podría convertirse en el mayor ciberataque de la historia y un ataque que puede dar lugar a cambios drásticos en la ciberseguridad.
Un ataque a la cadena de suministro abre de par en par los controles de ciberseguridad. Las víctimas estaban siguiendo las mejores prácticas de seguridad cibernética al asegurarse de que sus plataformas estuvieran actualizadas a la última versión; no sabían que su proveedor de tecnología, SolarWinds, había sido infiltrado por presuntos escuadrones de piratas informáticos rusos que habían envenenado las actualizaciones para infectar toda la cadena de suministro.
¿Quién fue el objetivo del ataque a la cadena de suministro?
Nuestra imagen de este truco cambia todo el tiempo a medida que se desarrolla la historia, y es posible que no sepamos el alcance total del truco durante muchos meses. Pero sí sabemos que el gobierno de los EE. UU. se ha visto significativamente afectado. Hay informes de que el Tesoro de EE. UU., el Departamento de Estado de EE. UU., el CISA y el DOE fueron atacados.
Si bien no se conocen los detalles exactos, una teoría es que cada oficina gubernamental usó Office 365 y Exchange para el correo electrónico y que las claves compartidas de Azure Active Directory se vieron comprometidas, lo que podría permitir que los atacantes se hicieran pasar por usuarios genuinos para acceder a los sistemas de correo electrónico y las bibliotecas de documentos. .
Esta teoría está respaldada por declaraciones publicadas por el Departamento de Justicia de que "esta actividad implicó el acceso al entorno de correo electrónico Microsoft O365 del Departamento" y "la cantidad de buzones de correo O365 a los que se puede acceder parece estar limitada a alrededor del 3 por ciento y no tenemos indicios de que ningún sistema clasificado fueron impactados.”
De los muchos gigantes tecnológicos atacados, sabemos que entre las víctimas estaban la potencia de redes Cisco Systems, el fabricante de CPU Intel, los fabricantes de GPU Nvidia Corp. y los pesos pesados de la tecnología VMware, Microsoft y Belkin. Sin duda, muchas más empresas se han visto afectadas, pero pasarán semanas o meses hasta que se conozca el panorama completo.
Si su empresa está preocupada por la ciberseguridad, no dude en comunicarse con Atlantic.Net. Somos especialistas en servicios administrados, alojamiento en la nube y cumplimiento de HIPAA. La seguridad de nuestra infraestructura es de suma importancia y trabajamos arduamente para garantizar que contamos con los mejores procesos de seguridad.
Este ciberataque pasará a la historia como uno de los peores, y nos preocupamos por nuestros amigos de la industria que podrían verse afectados por esto. Los clientes de SolarWinds no han hecho nada malo; compraron una suite de administración de servidores líder en la industria de una empresa de confianza y ahora, debido a una incompetencia de seguridad desconocida, cada cliente se ha puesto en riesgo sin culpa propia. Póngase en contacto hoy.