Tips

Un grupo de hackers comprometió la herramienta de gestión de Tecnología de Informacion "Orion", según el Departamento de Seguridad Nacional de EE.UU. Se informa que el software es utilizado por entidades gubernamentales y empresariales en América del Norte, Europa, Asia y Oriente Medio. Los hackers utilizaron el llamado "ataque a la cadena de suministro" para inyectar su malware en las actualizaciones de software legítimo.

Un grupo de hackers supuestamente comprometió ciertas herramientas de software utilizadas por muchas compañías de Fortune 500 y varias agencias federales, según unas declaraciones del Departamento de Seguridad Nacional de los Estados Unidos (DHS) y la firma de ciberseguridad FireEye publicadas ayer.

El software en cuestión es la herramienta de monitorización y gestión de IT Orion desarrollada por SolarWinds.

Según el informe de FireEye, el software es utilizado por "entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extracción en Norteamérica, Europa, Asia y Oriente Medio".

La empresa explicó que la campaña de piratería informática está actualmente en curso y "puede haber comenzado ya en la primavera de 2020", cuando los atacantes inyectaron su malware en las actualizaciones de software de SolarWinds.

El grupo supuestamente utilizó el llamado "ataque a la cadena de suministro". A través de este método, los actores maliciosos pueden inyectar sigilosamente sus troyanos en las infraestructuras de actualización de software legítimo.

FireEye también declaró que se había convertido en una de las víctimas de un "atacante altamente evasivo" que utilizó la cadena de suministro digital de SolarWinds para "comprometer a múltiples víctimas globales con el backdoor SUNBURST".

En su declaración oficial, SolatWind dijo que "se acaba de enterar" que sus sistemas "experimentaron un ataque manual altamente sofisticado a la cadena de suministro".

La empresa también señaló que el exploit estaba supuestamente presente en varias versiones de su software Orion publicadas entre marzo y junio. "Se nos ha informado de que este ataque probablemente fue realizado por un estado de una nación exterior y que pretendía ser un ataque estrecho, extremadamente dirigido y ejecutado manualmente, en contraposición a un ataque amplio, a nivel de todo el sistema", añadió SolarWinds.

Estados Unidos ha advertido de hacks y ataques previos —con y sin criptomonedas— por parte de grupos de Corea del Norte, Rusia, China, Irán, etc.

Según el informe del Financial Times, la empresa también reveló que está cooperando en una investigación junto con FireEye, el FBI y otras agencias de la ley.

El DHS publicó una directiva de emergencia el domingo, instando a las agencias gubernamentales a deshabilitar todas las infraestructuras de IT que involucren los productos Orion de SolarWinds - al menos las versiones 2019.4 hasta 2020.2.1 HF1 - ya que "actualmente están siendo explotadas por actores maliciosos" y representan "un riesgo inaceptable para el Poder Ejecutivo Civil Federal".

La agencia añadió que todas las entidades afectadas "deberían esperar más comunicaciones de CISA y esperar orientación", así como bloquear todo el tráfico a hosts externos que tengan instalada alguna versión del software Orion de SolarWinds.