El presidente de Microsoft califica el hack de SolarWinds como un "acto de imprudencia"

De los 18.000 servidores con puertas traseras, los piratas informáticos siguieron solo a unas pocas docenas.

De las 18.000 organizaciones que descargaron una versión de software con puerta trasera de SolarWinds, la más pequeña de las astillas, posiblemente tan pequeña como el 0,2 por ciento, recibió un truco de seguimiento que utilizó la puerta trasera para instalar una carga útil de segunda etapa. Las poblaciones más grandes que recibieron la etapa dos fueron, en orden, empresas de tecnología, agencias gubernamentales y think tanks / ONG. La gran mayoría, el 80 por ciento, de estos 40 elegidos estaban ubicados en los Estados Unidos.

Estas cifras se proporcionaron en una actualización del presidente de Microsoft, Brad Smith. Smith también compartió algunos comentarios perspicaces y aleccionadores sobre la importancia de este ataque casi sin precedentes. Sus números están incompletos, ya que Microsoft solo ve lo que detecta su aplicación Windows Defender. Aún así, Microsoft ve mucho, por lo que cualquier diferencia con los números reales probablemente sea un error de redondeo.

Creme de la creme

SolarWinds es el fabricante de una herramienta de administración de red casi ubicua llamada Orion. Un porcentaje sorprendentemente grande de las redes empresariales del mundo lo ejecuta. Los piratas informáticos respaldados por un estado nacional —dos senadores estadounidenses que recibieron informes privados dicen que era Rusia— lograron hacerse cargo del sistema de creación de software de SolarWinds e impulsar una actualización de seguridad con una puerta trasera. SolarWinds dijo que unos 18.000 usuarios descargaron la actualización maliciosa.

La campaña de piratería de meses de duración salió a la luz solo después de que la firma de seguridad FireEye admitiera que había sido violada por un estado nacional . En el curso de su investigación, los investigadores de la compañía descubrieron que los piratas informáticos utilizaron la puerta trasera de Orion, no solo contra FireEye, sino en una campaña mucho más amplia dirigida a múltiples agencias federales. En los 10 días que han pasado desde entonces, el alcance y la disciplina de la operación de piratería se han vuelto cada vez más claros.

La campaña de piratería de meses de duración salió a la luz solo después de que la firma de seguridad FireEye admitiera que había sido violada por un estado nacional . En el curso de su investigación, los investigadores de la compañía descubrieron que los piratas informáticos utilizaron la puerta trasera de Orion, no solo contra FireEye, sino en una campaña mucho más amplia dirigida a múltiples agencias federales. En los 10 días que han pasado desde entonces, el alcance y la disciplina de la operación de piratería se han vuelto cada vez más claros.

El hackeo de SolarWinds y su puerta trasera de 18.000 servidores fue solo la primera fase del ataque, una que se realizó solo para concentrarse en los objetivos de interés. Estas organizaciones crème de la crème eran probablemente el único propósito de toda la operación, que duró al menos nueve meses, y posiblemente mucho más.

Dan Goodin -18/12/2020, 4:09 a.m

Fuente: https://arstechnica.com/information-technology/2020/12/only-an-elite-few-solarwinds-hack-victims-received-follow-on-attacks/