SolarWinds culpa a pasante de usar una contraseña débil que provocó su ciberataque
A medida que los investigadores de ciberseguridad continúan reconstruyendo el extenso ataque a la cadena de suministro de SolarWinds, vamos conociendo más detalles. Los altos ejecutivos de la compañía culparon a un pasante por un lapso crítico de contraseña que pasó desapercibido durante varios años.
Originalmente, se creía que dicha contraseña “solarwinds123” era de acceso público a través de un repositorio de GitHub desde el 17 de junio de 2018. Supuestamente estuvo disponible al público antes de que se solucionara la configuración incorrecta el 22 de noviembre de 2019.
Empero, en una audiencia ante las autoridades el viernes, el director ejecutivo de SolarWinds Sudhakar Ramakrishna, afirmó que la contraseña estuvo en uso desde 2017.
Una investigación preliminar sobre el ataque reveló que los operadores detrás de la campaña de espionaje lograron comprometer el software de la compañía. Ellos comprometieron la infraestructura de firma del código de la plataforma SolarWinds Orion desde octubre de 2019 para enviar la puerta trasera Sunburst. Los esfuerzos de respuesta a incidentes de Crowdstrike apuntaron a una línea de tiempo que estableció la primera infracción de la red SolarWinds el 4 de septiembre de 2019.
Hasta la fecha, al menos nueve agencias gubernamentales estadounidenses y 100 empresas del sector privado han sido vulneradas. El ataque se ha descrito como una de las operaciones más sofisticadas y mejor planificadas. La operación involucró inyectar el implante malicioso en la plataforma de software Orion con el objetivo de comprometer a sus clientes.
“Un error que cometió un pasante”
“Tengo una contraseña más segura que ‘solarwinds123’ para evitar que mis hijos vean demasiado YouTube en su iPad”, dijo la representante de California Katie Porter. “Se suponía que usted y su empresa estaban impidiendo que los rusos leyeran los correos electrónicos del Departamento de Defensa”.
“Creo que fue una contraseña que usó un pasante en uno de sus servidores en 2017. Esta fue reportada a nuestro equipo de seguridad y la eliminaron de inmediato”, dijo Ramakrishna en respuesta a Porter.
El ex director ejecutivo Kevin Thompson se hizo eco de la declaración de Ramakrishna durante el testimonio.
“Eso se relacionó con un error que cometió un pasante. Violaron nuestras políticas de contraseñas y publicaron esa contraseña en su propia cuenta privada de GitHub”, dijo Thompson. “Tan pronto como fue identificado y puesto en conocimiento de mi equipo de seguridad, lo retiraron”.
El investigador de seguridad Vinoth Kumar reveló en diciembre que notificó a la compañía de un repositorio de GitHub de acceso público. El repositorio estaba filtrando las credenciales FTP del sitio web de descarga de la compañía. Por lo tanto,un hacker podría usar las credenciales para cargar un ejecutable malicioso y agregarlo a un Actualización de SolarWinds.
En las semanas posteriores a la revelación, SolarWinds recibió una demanda colectiva en enero de 2021. La demanda alegaba que la compañía no reveló que “desde mediados de 2020, los productos de monitoreo SolarWinds Orion tenían una vulnerabilidad. La vulnerabilidad permitía comprometer el servidor donde ejecutaron los productos”, y que “el servidor de actualización de SolarWinds tenía una contraseña de fácil acceso: ‘solarwinds123′”. Como resultado, la empresa “sufriría un daño significativo a la reputación”.
La NASA y otras importantes instituciones afectadas
Se cree que hasta 18,000 clientes de SolarWinds recibieron la actualización de Orion troyanizada. No obstante, el actor de amenazas detrás de la operación eligió cuidadosamente sus objetivos, optando por escalar los ataques solo en un grupo de casos. Esto mediante la implementación del malware Teardrop. El malware basado en la información acumulada durante un reconocimiento inicial. del entorno objetivo para cuentas y activos de alto valor.
Los atacantes se infiltraron en las redes de Microsoft, FireEye, Malwarebytes, CrowdStrike y Mimecast. Además, se dice que los atacantes también utilizaron SolarWinds como punto de partida para penetrar en la Administración Nacional de Aeronáutica y del Espacio (NSA). Asimismo, vulneraron la Administración Federal de Aviación (FAA), según el Washington Post.
Las otras siete agencias violadas son los Departamentos de Estado, Justicia, Comercio, Seguridad Nacional, Energía, Tesoro y los Institutos Nacionales de Salud.
“Además de esta estimación, hemos identificado víctimas adicionales del gobierno y del sector privado en otros países. Y, creemos que es muy probable que queden otras víctimas aún no identificadas. Quizás, especialmente en regiones donde la migración a la nube no está tan avanzada como parece está en los Estados Unidos”. .
Brad Smith, presidente de Microsoft, durante la audiencia
El grupo de amenazas, supuestamente de origen ruso, está siendo rastreado bajo diferentes seudónimos. Por ejemplo, UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) y Dark Halo (Volexity).
“Los hackers lanzaron el ataque desde el interior de los Estados Unidos, lo que hizo más difícil para el gobierno de Estados Unidos observar su actividad”. Esto según dijo el asesor adjunto de Seguridad Nacional Anne Neuberger en una conferencia de la Casa Blanca el mes pasado. Es un actor sofisticado que hizo todo lo posible para ocultar sus huellas. Creemos que les tomó meses planificar y ejecutar este ataque”.
Adopción de un enfoque “seguro por diseño”
Comparando el ciberataque de SolarWinds con una “serie de invasiones a hogares a gran escala”, Smith instó a la necesidad de fortalecer las cadenas de suministro de software y hardware del sector tecnológico. Además, promover un intercambio más amplio de inteligencia de amenazas para respuestas en tiempo real durante tales incidentes.
A tal efecto, Microsoft tiene consultas CodeQL de código abierto que se utilizan para buscar la actividad de Solorigate. Estas podrían ser utilizada por otras organizaciones para analizar su código fuente a escala. También pueden usarla para verificar indicadores de compromiso (IoC) y patrones de codificación asociados con el ataque.
En un desarrollo relacionado, investigadores de ciberseguridad que hablaron con The Wall Street Journal revelaron datos interesantes. Los presuntos hackers rusos utilizaron los centros de datos de informática en la nube de Amazon para montar una parte clave de la campaña. Este detalle arroja nuevas pistas del alcance de los ataques y las tácticas empleadas por el grupo. El gigante tecnológico, sin embargo, hasta ahora no ha hecho públicos sus conocimientos sobre la actividad de hacking.
SolarWinds, por su parte, dijo que está implementando el conocimiento obtenido del incidente para evolucionar hacia una empresa que sea “segura por diseño”. Y, que está implementando protección adicional contra amenazas y software de búsqueda de amenazas. La empresa está implementando esto en todos sus puntos finales de red, incluidas medidas para salvaguardar sus entornos de desarrollo.
