SolarWinds culpa a un pasante por utilizar la contraseña "solarwinds123"

 A medida que los investigadores de ciberseguridad continúan reconstruyendo el extenso ataque a la cadena de suministro de SolarWinds, los altos ejecutivos de la firma de servicios de software con sede en Texas culparon a un pasante por un error crítico de contraseña que pasó desapercibido durante varios años.

Originalmente se creía que dicha contraseña "solarwinds123" era de acceso público a través de un repositorio de GitHub desde el 17 de junio de 2018, antes de que se solucionara la configuración incorrecta el 22 de noviembre de 2019.

Pero en una audiencia ante los Comités de Supervisión y Reforma y Seguridad Nacional de la Cámara de Representantes en SolarWinds el viernes, el director ejecutivo Sudhakar Ramakrishna testificó que la contraseña había estado en uso ya en 2017.

Si bien una investigación preliminar sobre el ataque reveló que los operadores detrás de la campaña de espionaje lograron comprometer la construcción de software y la infraestructura de firma de código de la plataforma SolarWinds Orion ya en octubre de 2019 para entregar la puerta trasera Sunburst, los esfuerzos de respuesta a incidentes de Crowdstrike apuntaron a una línea de tiempo revisada que estableció la primera violación de la red SolarWinds el 4 de septiembre de 2019.

Hasta la fecha, al menos nueve agencias gubernamentales y 100 empresas del sector privado han sido violadas en lo que se describe como una de las operaciones más sofisticadas y mejor planificadas que involucró inyectar el implante malicioso en la plataforma de software Orion con el objetivo de comprometer a sus clientes.

"Un error que cometió un interno"

"Tengo una contraseña más segura que 'solarwinds123' para evitar que mis hijos vean demasiado YouTube en su iPad", dijo la representante Katie Porter de California. "Se suponía que usted y su empresa estaban impidiendo que los rusos leyeran los correos electrónicos del Departamento de Defensa".

"Creo que fue una contraseña que usó un pasante en uno de sus servidores en 2017, que se informó a nuestro equipo de seguridad y se eliminó de inmediato", dijo Ramakrishna en respuesta a Porter.

El ex director ejecutivo Kevin Thompson se hizo eco de la declaración de Ramakrishna durante el testimonio. "Eso se relacionó con un error que cometió un pasante, y violaron nuestras políticas de contraseñas y publicaron esa contraseña en su propia cuenta privada de GitHub. Tan pronto como fue identificado y puesto en conocimiento de mi equipo de seguridad, lo retiraron".

El investigador de seguridad Vinoth Kumar reveló en diciembre que notificó a la compañía sobre un repositorio de GitHub de acceso público que estaba filtrando las credenciales FTP del sitio web de descarga de la compañía, agregando que un delincuente informático podría usar las credenciales para cargar un ejecutable malicioso y agregarlo a un Actualización de SolarWinds.

En las semanas posteriores a la revelación, SolarWinds recibió una demanda colectiva en enero de 2021 que alegaba que la compañía no reveló que "desde mediados de 2020, los productos de monitoreo SolarWinds Orion tenían una vulnerabilidad que permitía a los delincuentes informáticos comprometer el servidor en el que el los productos se ejecutaron, y que el servidor de actualización de SolarWinds tenía una contraseña de fácil acceso de 'solarwinds123', como resultado de lo cual la empresa sufriría un daño significativo en la reputación".

Se cree que hasta 18.000 clientes de SolarWinds han recibido la actualización de Orion troyanizada, aunque el actor de amenazas detrás de la operación eligió cuidadosamente sus objetivos, optando por escalar los ataques solo en un puñado de casos mediante la implementación del malware Teardrop basado en la información acumulada durante un reconocimiento inicial. del entorno objetivo para cuentas y activos de alto valor.


Además de infiltrarse en las redes de Microsoft, FireEye, Malwarebytes, CrowdStrike y Mimecast, se dice que los atacantes también utilizaron SolarWinds como punto de partida para penetrar en la Administración Nacional de Aeronáutica y del Espacio (NSA) y la Administración Federal de Aviación (FAA). , según el Washington Post.

Las otras siete agencias violadas son los Departamentos de Estado, Justicia, Comercio, Seguridad Nacional, Energía, Tesoro y los Institutos Nacionales de Salud.

"Además de esta estimación, hemos identificado más víctimas del gobierno y del sector privado en otros países, y creemos que es muy probable que queden otras víctimas aún no identificadas, quizás especialmente en regiones donde la migración a la nube no está tan avanzada como parece. está en los Estados Unidos", dijo el presidente de Microsoft, Brad Smith, durante la audiencia.

El grupo de amenazas, supuestamente de origen ruso, está siendo rastreado bajo diferentes apodos, incluidos UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) y Dark Halo (Volexity).

"Los atacantes lanzaron el ataque desde el interior de Estados Unidos, lo que dificultó aún más que el gobierno de Estados Unidos observe su actividad", dijo la asesora adjunta de Seguridad Nacional Anne Neuberger en una sesión informativa en la Casa Blanca el mes pasado. "Este es un actor sofisticado que hizo todo lo posible para ocultar sus huellas. Creemos que les tomó meses planificar y ejecutar este compromiso".

Adopción de un enfoque "seguro por diseño"

Al comparar el ciberataque de SolarWinds con una "serie de invasiones a hogares a gran escala", Smith instó a la necesidad de fortalecer las cadenas de suministro de software y hardware del sector tecnológico y promover un intercambio más amplio de inteligencia de amenazas para respuestas en tiempo real durante tales incidentes.

A tal efecto, Microsoft tiene consultas CodeQL de código abierto que se utilizan para buscar la actividad de Solorigate, que, según dice, podría ser utilizada por otras organizaciones para analizar su código fuente a escala y verificar indicadores de compromiso (IoC) y patrones de codificación asociados con el ataque. .

En un desarrollo relacionado, los investigadores de ciberseguridad que hablaron con The Wall Street Journal revelaron que los presuntos delincuentes informáticos rusos utilizaron los centros de datos de computación en la nube de Amazon para montar una parte clave de la campaña, arrojando nueva luz sobre el alcance de los ataques y las tácticas empleadas por el grupo. El gigante tecnológico, sin embargo, hasta ahora no ha hecho públicos sus conocimientos sobre la actividad.

SolarWinds, por su parte, dijo que está implementando el conocimiento obtenido del incidente para evolucionar hacia una empresa que es "segura por diseño" y que está implementando protección adicional contra amenazas y software de búsqueda de amenazas en todos sus terminales de red, incluidas medidas para salvaguardar sus entornos de desarrollo.

Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos