Microsoft determina que el ataque a SolarWinds requirió a más de 1,000 ingenieros

Microsoft determina que el ataque a SolarWinds requirió a más de 1,000 ingenieros

La campaña de piratería que duró meses y que afectó a las agencias gubernamentales de EE. UU. Y a los proveedores de ciberseguridad fue "el ataque más grande y sofisticado que jamás haya visto el mundo", dijo el presidente de Microsoft, Brad Smith, e involucró a una gran cantidad de desarrolladores.

El ataque, revelado por la firma de seguridad FireEye y Microsoft en diciembre , puede haber afectado a 18.000 organizaciones como resultado del malware Sunburst (o Solorigate) instalado dentro del software de gestión de red Orion de SolarWinds.   

"Creo que desde la perspectiva de la ingeniería de software, probablemente sea justo decir que este es el ataque más grande y sofisticado que jamás haya visto el mundo", dijo Smith a CBSNews en 60 Minutes . 

Microsoft, que también fue violada por la mala actualización de Orion, asignó a 500 ingenieros para investigar el ataque, dijo Smith, pero el equipo (probablemente respaldado por Rusia) detrás del ataque tenía más del doble de recursos de ingeniería. 

"Cuando analizamos todo lo que vimos en Microsoft, nos preguntamos cuántos ingenieros probablemente han trabajado en estos ataques. Y la respuesta a la que llegamos fue, bueno, ciertamente más de 1.000″, dijo Smith. 

Entre las agencias estadounidenses confirmadas como afectadas por los ataques se encuentran el Departamento del Tesoro de los Estados Unidos, la Agencia de Infraestructura y Ciberseguridad (CISA), el Departamento de Seguridad Nacional (DHS), el Departamento de Estado de los Estados Unidos y el Departamento de Energía de los Estados Unidos (DOE). )

Smith ha dado anteriormente una alarma por el ataque porque los ciberataques respaldados por el gobierno que se centran en la cadena de suministro de tecnología representan un riesgo para la economía en general. 

"Si bien los gobiernos se han espiado durante siglos, los atacantes recientes utilizaron una técnica que ha puesto en riesgo la cadena de suministro de tecnología para la economía en general", dijo Smith después de revelar los ataques . 

Dijo que se trataba de un ataque "a la confianza y la fiabilidad de la infraestructura crítica del mundo para hacer avanzar la agencia de inteligencia de una nación".

Smith destacó a 60 Minutes que los atacantes reescribieron solo 4.032 líneas de código dentro de Orion, que consta de millones de líneas de código.  Kevin Mandia, director ejecutivo de FireEye, también habló sobre cómo los atacantes activaron una alarma, pero solo después de que los atacantes registraron con éxito un segundo teléfono inteligente conectado a la cuenta de un empleado de FireEye para su sistema de autenticación de dos factores. Los empleados necesitan ese código de dos factores para iniciar sesión de forma remota en la VPN de la empresa.

"Al igual que todos los que trabajan desde casa, tenemos autenticación de dos factores", dijo Mandia. 

"Aparece un código en nuestro teléfono. Tenemos que escribir ese código. Y luego podemos iniciar sesión. Un empleado de FireEye estaba iniciando sesión, pero la diferencia fue que nuestro personal de seguridad miró el inicio de sesión y notamos que la persona tenía dos teléfonos registrados a su nombre. Así que nuestro empleado de seguridad llamó a esa persona y le preguntamos: "Oye, ¿realmente registraste un segundo dispositivo en nuestra red?" Y nuestro empleado dijo: "No. No fue, no fui yo ".

Charles Carmakal, vicepresidente senior y director de tecnología del equipo de respuesta a incidentes Mandiant de FireEye, le dijo anteriormente a Yahoo News que el sistema de seguridad de FireEye alertaba al empleado y al equipo de seguridad de la compañía sobre el dispositivo desconocido que supuestamente pertenecía al empleado. 

Los atacantes habían obtenido acceso al nombre de usuario y la contraseña del empleado a través de la actualización de SolarWinds. Esas credenciales permitieron al atacante inscribir el dispositivo en su sistema de autenticación de dos factores. 

Las actualizaciones de Orion no fueron la única forma en que las empresas se infiltraron durante la campaña, lo que también implicó que los piratas informáticos obtuvieran acceso a las aplicaciones en la nube. El 30% de las organizaciones violadas no tenían  un vínculo directo con Solar Winds , según un informe de The Wall Street Journal .

¿QUE TE PARECIÓ ESTA NOTICIA? DÉJANOS TU COMENTARIO!

No Comments

Post A Comment

× Contáctanos