imágenes falsas
De las 18.000 organizaciones que descargaron una versión de software con puerta trasera de SolarWinds, la más pequeña de las astillas, posiblemente tan pequeña como el 0,2 por ciento, recibió un truco de seguimiento que utilizó la puerta trasera para instalar una carga útil de segunda etapa. Las poblaciones más grandes que recibieron la etapa dos fueron, en orden, empresas de tecnología, agencias gubernamentales y think tanks / ONG. La gran mayoría, el 80 por ciento, de estos 40 elegidos estaban ubicados en los Estados Unidos.
Estas cifras se proporcionaron en un actualizar del presidente de Microsoft, Brad Smith. Smith también compartió algunos comentarios perspicaces y aleccionadores sobre la importancia de este ataque casi sin precedentes. Sus números están incompletos, ya que Microsoft solo ve lo que detecta su aplicación Windows Defender. Aún así, Microsoft ve mucho, por lo que cualquier diferencia con los números reales probablemente sea un error de redondeo.
Crema de crema
SolarWinds es el fabricante de una herramienta de administración de red casi ubicua llamada Orion. Un porcentaje sorprendentemente grande de las redes empresariales del mundo lo ejecuta. Los piratas informáticos respaldados por un estado nacional —dos senadores estadounidenses que recibieron informes privados dicen que era Rusia— lograron hacerse cargo del sistema de creación de software de SolarWinds e impulsar una actualización de seguridad con una puerta trasera. SolarWinds dijo que unos 18.000 usuarios descargaron la actualización maliciosa.
La campaña de piratería de meses de duración salió a la luz solo después de que la firma de seguridad FireEye admitiera que había sido violada por un estado nacional. En el curso de su investigación, los investigadores de la compañía descubrieron que los piratas informáticos utilizaron la puerta trasera de Orion, no solo contra FireEye, sino en una campaña mucho más amplia dirigida a múltiples agencias federales. En los 10 días que han pasado desde entonces, el alcance y la disciplina de la operación de piratería se han vuelto cada vez más claros.
El pirateo de SolarWinds y su puerta trasera de 18.000 servidores fue solo la primera fase del ataque, una que se realizó solo para concentrarse en los objetivos de interés. Estas organizaciones crème de la crème eran probablemente el único propósito de toda la operación, que duró al menos nueve meses, y posiblemente mucho más.
Los números de Microsoft ilustran cuán dirigido fue este ataque. Los piratas informáticos detrás de este compromiso de la cadena de suministro tenían acceso privilegiado a 18.000 redes empresariales y solo le dieron seguimiento a 40 de ellas.
El siguiente mapa muestra el sector de estas víctimas de piratería de élite.
Microsoft
Infringir normas
Smith reconoció tácitamente que todas las naciones industrializadas se dedican al espionaje que incluye la piratería. Lo que fue diferente esta vez, dijo, fue que un estado nación había violado las normas establecidas al poner vastas franjas del mundo en peligro real para perseguir sus fines. Smith pasó a escribir:
Es fundamental que retrocedamos y evaluemos la importancia de estos ataques en su contexto completo. Esto no es “espionaje como de costumbre”, incluso en la era digital. En cambio, representa un acto de imprudencia que creó una seria vulnerabilidad tecnológica para Estados Unidos y el mundo. En efecto, esto no es solo un ataque a objetivos específicos, sino a la confianza y confiabilidad de la infraestructura crítica del mundo para hacer avanzar la agencia de inteligencia de una nación. Si bien el ataque más reciente parece reflejar un enfoque particular en los Estados Unidos y muchas otras democracias, también proporciona un poderoso recordatorio de que las personas en prácticamente todos los países están en riesgo y necesitan protección independientemente de los gobiernos bajo los que vivan.
En otra parte de la publicación, Smith citó al CEO de FireEye, Kevin Mandia, diciendo recientemente: “Estamos siendo testigos de un ataque de una nación con capacidades ofensivas de primer nivel”. Smith luego escribió:
Mientras los expertos en ciberseguridad de Microsoft ayudan en la respuesta, hemos llegado a la misma conclusión. Desafortunadamente, el ataque representa un asalto amplio y exitoso basado en el espionaje tanto a la información confidencial del gobierno de los Estados Unidos como a las herramientas tecnológicas que utilizan las empresas para protegerlas. El ataque está en curso y está siendo investigado y abordado activamente por equipos de ciberseguridad en los sectores público y privado, incluido Microsoft. Dado que nuestros equipos actúan como primeros en responder a estos ataques, estas investigaciones en curso revelan un ataque que es notable por su alcance, sofisticación e impacto.
El hack de SolarWinds se perfila como uno de los peores hacks de espionaje de la última década, si no de todos los tiempos. El oficio y la precisión milimétrica son asombrosos. A medida que esas víctimas de élite en las próximas semanas desentrañen lo que la segunda etapa les hizo a sus redes, es probable que esta historia se acelere.