Al menos 200 organizaciones, incluidas agencias gubernamentales y empresas de todo el mundo, han sido pirateadas como parte de un presunto ciberataque ruso que implantó código malicioso en un programa de software ampliamente utilizado, dijeron una firma de ciberseguridad y tres personas familiarizadas con las investigaciones en curso.
El número de víctimas reales de piratería ha sido una de las muchas preguntas sin respuesta en torno al ciberataque, que utilizó una puerta trasera en el software de gestión de red Orion de SolarWinds Corp. como base para futuros ataques.
Hasta 18.000 clientes de SolarWinds recibieron una actualización maliciosa que incluía la puerta trasera, pero es probable que el número que fue realmente pirateado, lo que significa que los atacantes utilizaron la puerta trasera para infiltrarse en las redes informáticas, sea mucho menor.
Recorded Future Inc., una empresa de ciberseguridad con sede en Massachusetts, ha identificado 198 víctimas que fueron pirateadas utilizando la puerta trasera de SolarWinds, dijo el analista de amenazas Allan Liska.
Otras tres personas dijeron que la investigación hasta ahora ha determinado que los piratas informáticos comprometieron aún más al menos a 200 víctimas, moviéndose dentro de las redes informáticas o intentando obtener credenciales de usuario, lo que los expertos en ciberseguridad llaman actividad de "manos en el teclado".
El número final podría aumentar a partir de ahí.
Ni Recorded Future ni las personas familiarizadas con la investigación proporcionaron las identidades de las víctimas. Se espera que el número aumente a medida que continúe la amplia investigación.
El motivo de los piratas informáticos sigue siendo desconocido y no está claro qué revisaron o robaron de las redes informáticas en las que se infiltraron.
De los aproximadamente 18,000 clientes de SolarWinds que recibieron la actualización infectada, más de 1,000 experimentaron el código malicioso haciendo ping a un servidor de "comando y control" de segunda etapa operado por piratas informáticos, lo que les da la opción de ingresar más en la red, según el público datos disponibles y las tres personas.
Los piratas informáticos utilizan servidores de comando y control para administrar el código malicioso una vez que está dentro de una red de destino. De esos más de 1,000, los investigadores han determinado hasta ahora que al menos 200 fueron pirateados.
El siguiente paso sería que los propios piratas informáticos se infiltraran en la red informática.
Un portavoz de SolarWinds dijo que la empresa "sigue centrada en colaborar con clientes y expertos para compartir información y trabajar para comprender mejor este problema".
"Siguen siendo los primeros días de la investigación", dijo el portavoz.
Los piratas informáticos afiliados al gobierno ruso han sido sospechosos desde el principio, y el viernes el secretario de Estado Michael Pompeo proporcionó una confirmación en una entrevista.
"Hubo un esfuerzo significativo para usar una pieza de software de terceros para incrustar esencialmente código dentro de los sistemas del gobierno de EE. UU., Y ahora parece que son sistemas de empresas privadas y empresas y gobiernos de todo el mundo", dijo Pompeo en una entrevista de radio. . "Este fue un esfuerzo muy significativo, y creo que ahora podemos decir con bastante claridad que fueron los rusos los que participaron en esta actividad".
El sábado, el presidente Donald Trump restó importancia al hackeo en Twitter y sugirió que China, no Rusia, podría ser responsable, mientras que el presidente interino del Comité de Inteligencia del Senado, Marco Rubio, dijo que estaba “cada vez más claro que la inteligencia rusa llevó a cabo la intrusión cibernética más grave. en nuestra historia ".
Una importante agencia de ciberseguridad de Estados Unidos emitió una alerta el jueves diciendo que los piratas informáticos representaban un "grave riesgo" para los gobiernos federal, estatal y local, así como para la infraestructura crítica y el sector privado.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., O CISA, dijo que los atacantes eran pacientes, contaban con buenos recursos y "demostraron sofisticación y habilidad comercial compleja".
CISA también dijo que había encontrado evidencia de otras posibles puertas traseras además de la plataforma SolarWinds Orion, lo que sugiere que podría haber lotes completamente diferentes de víctimas potenciales que aún no han sido identificadas.
Microsoft Corp. dijo el jueves que 40 de sus clientes habían sido pirateados, que los ataques estaban en curso y que se espera que aumente el número de víctimas. Entre los afectados se encontraban empresas de ciberseguridad anónimas, agencias gubernamentales y contratistas gubernamentales, de los cuales aproximadamente el 80% se encuentran en EE. UU.
La empresa de ciberseguridad FireEye Inc. fue la primera víctima en revelar que había sido pirateada, el 8 de diciembre, y dijo que mientras investigaban su propia infracción, los investigadores de la empresa descubrieron la puerta trasera de SolarWinds. La propia Microsoft dijo que encontró la actualización maliciosa de SolarWinds dentro de su red, pero que no encontró evidencia de acceso a "servicios de producción o datos de clientes".
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
