Los piratas informáticos del estado-nación que organizaron el ataque a la cadena de suministro de SolarWinds comprometieron la computadora de un trabajador de Microsoft y utilizaron el acceso para lanzar ataques dirigidos contra los clientes de la empresa, dijo Microsoft en un escueto comunicado publicado el viernes por la tarde.
El grupo de piratería también comprometió a tres entidades utilizando técnicas de rociado de contr aseñas y de fuerza bruta, que obtienen acceso no autorizado a las cuentas bombardeando los servidores de inicio de sesión con un gran número de intentos de inicio de sesión. Con la excepción de las tres entidades no reveladas, dijo Microsoft, la campaña de rociado de contraseñas fue “en su mayoría infructuosa”. Desde entonces, Microsoft ha notificado a todos los objetivos, tanto si los ataques tuvieron éxito como si no.
Entra Nobelium
Los descubrimientos se produjeron en la investigación continua de Microsoft sobre Nobelium, el nombre de Microsoft para el sofisticado grupo de piratas informáticos que utilizó actualizaciones de software SolarWinds y otros medios para comprometer redes pertenecientes a nueve agencias estadounidenses y 100 empresas privadas. El gobierno federal ha dicho que Nobelium es parte del Servicio de Seguridad Federal del gobierno ruso.
“Como parte de nuestra investigación sobre esta actividad en curso, también detectamos malware que roba información en una máquina que pertenece a uno de nuestros agentes de atención al cliente con acceso a información básica de la cuenta para un pequeño número de nuestros clientes”, dijo Microsoft en un correo. “El actor usó esta información en algunos casos para lanzar ataques altamente dirigidos como parte de su campaña más amplia”.
Según Reuters, Microsoft publicó la divulgación de la infracción después de que uno de los reporteros del medio de noticias le preguntara a la compañía sobre la notificación que envió a los clientes atacados o pirateados. Microsoft no reveló la infección de la computadora del trabajador hasta el cuarto párrafo de la publicación de cinco párrafos.
El agente infectado, dijo Reuters, podría acceder a la información de contacto de facturación y los servicios por los que pagaron los clientes, entre otras cosas. “Microsoft advirtió a los clientes afectados que tengan cuidado con las comunicaciones con sus contactos de facturación y consideren cambiar esos nombres de usuario y direcciones de correo electrónico, así como también prohibir que los nombres de usuario antiguos inicien sesión”, informó el servicio de noticias.
El ataque a la cadena de suministro de SolarWinds salió a la luz en diciembre. Después de piratear la empresa con sede en Austin, Texas, y tomar el control de su sistema de creación de software, Nobelium envió actualizaciones maliciosas a unos 18.000 clientes de SolarWinds.
Una amplia variedad de objetivos
El ataque a la cadena de suministro de SolarWinds no fue la única forma en que Nobelium comprometió sus objetivos. El proveedor de antimalware Malwarebytes ha dicho que también fue infectado por Nobelium pero a través de un vector diferente, que la compañía no identificó.
Tanto Microsoft como el proveedor de administración de correo electrónico Mimecast también han dicho que ellos también fueron pirateados por Nobelium, que luego utilizó los compromisos para piratear a los clientes o socios de las empresas.
Microsoft dijo que la actividad de rociado de contraseñas estaba dirigida a clientes específicos, con 57 por ciento de ellos empresas de TI, 20 por ciento organizaciones gubernamentales y el resto organizaciones no gubernamentales, centros de estudios y servicios financieros. Aproximadamente el 45 por ciento de la actividad se centró en los intereses de EE. UU., El 10 por ciento se centró en clientes del Reino Unido y un número menor se centró en Alemania y Canadá. En total, se apuntó a clientes de 36 países.
Reuters, citando a un portavoz de Microsoft, dijo que la violación divulgada el viernes no formaba parte del anterior ataque exitoso de Nobelium a Microsoft. La compañía aún tiene que proporcionar detalles clave, incluido cuánto tiempo estuvo comprometida la computadora del agente y si el compromiso afectó a una máquina administrada por Microsoft en una red de Microsoft o un dispositivo de un contratista en una red doméstica.
La divulgación del viernes fue un shock para muchos analistas de seguridad.
“Quiero decir, Jesús, si Microsoft no puede mantener su propio kit libre de virus, ¿cómo se supone que lo haga el resto del mundo empresarial?” Kenn White, director de seguridad de productos en MongoDB, me lo dijo. “Habría pensado que los sistemas orientados al cliente serían algunos de los más reforzados”.