La firma de seguridad Malwarebytes dijo que fue violada por los mismos piratas informáticos patrocinados por el estado nacional que comprometieron a una docena o más de agencias gubernamentales y empresas privadas de Estados Unidos.
Los atacantes son más conocidos por piratear primero SolarWinds con sede en Austin, Texas, comprometiendo su sistema de distribución de software y usándolo para infectar las redes de los clientes que usaban el software de administración de red de SolarWinds. En un aviso en líneaSin embargo, Malwarebytes dijo que los atacantes utilizaron un vector diferente.
“Si bien Malwarebytes no usa SolarWinds, nosotros, como muchas otras compañías, fuimos recientemente atacados por el mismo actor de amenazas”, decía el aviso. “Podemos confirmar la existencia de otro vector de intrusión que funciona abusando de las aplicaciones con acceso privilegiado a los entornos de Microsoft Office 365 y Azure”.
Los investigadores han determinado que el atacante obtuvo acceso a un subconjunto limitado de correos electrónicos internos de la empresa. Hasta ahora, los investigadores no han encontrado evidencia de acceso no autorizado o compromiso en ningún entorno de producción de Malwarebytes.
El aviso no es la primera vez que los investigadores dicen que el ataque a la cadena de suministro del software SolarWinds no fue el único medio de infección.
Cuando salió a la luz el compromiso masivo el mes pasado, Microsoft dijo que los piratas informáticos también robaron certificados de firma que les permitieron hacerse pasar por cualquiera de los usuarios y cuentas existentes de un objetivo a través del lenguaje de marcado de aserción de seguridad. Normalmente abreviado como SAML, el lenguaje basado en XML proporciona una forma para que los proveedores de identidad intercambien datos de autenticación y autorización con los proveedores de servicios.
Hace doce días, la Agencia de Seguridad de Infraestructura y Ciberseguridad dijo que los atacantes pueden haber obtenido acceso inicial al adivinar o rociar contraseñas o al explotar credenciales administrativas o de servicio.
Mimecast
«En nuestro caso particular, el actor de amenazas agregó un certificado autofirmado con credenciales a la cuenta principal del servicio», escribió el investigador de Malwarebytes, Marcin Kleczynski. «Desde allí, pueden autenticarse con la clave y realizar llamadas a la API para solicitar correos electrónicos a través de MSGraph».
La semana pasada, el proveedor de administración de correo electrónico Mimecast también dijo que los piratas informáticos comprometieron un certificado digital que emitió y lo usaron para apuntar a clientes seleccionados que lo usan para cifrar los datos que enviaron y recibieron a través del servicio basado en la nube de la compañía. Si bien Mimecast no dijo que el compromiso del certificado estaba relacionado con el ataque en curso, las similitudes hacen que sea probable que los dos ataques estén relacionados.
Debido a que los atacantes utilizaron su acceso a la red SolarWinds para comprometer el sistema de construcción de software de la empresa, los investigadores de Malwarebytes investigaron la posibilidad de que ellos también estuvieran siendo utilizados para infectar a sus clientes. Hasta ahora, Malwarebytes dijo que no tiene evidencia de tal infección. La compañía también ha inspeccionado sus repositorios de código fuente en busca de signos de cambios maliciosos.
Malwarebytes dijo que se enteró por primera vez de la infección a través de Microsoft el 15 de diciembre, dos días después de que se revelara por primera vez el ataque a SolarWinds. Microsoft identificó el compromiso de la red a través de una actividad sospechosa de una aplicación de terceros en el inquilino de Microsoft Office 365 de Malwarebytes. Las tácticas, técnicas y procedimientos del ataque de Malwarebytes fueron similares en aspectos clave al actor de amenazas involucrado en los ataques de SolarWinds.
El aviso de Malwarebytes marca la cuarta vez que una empresa revela que fue atacada por los piratas informáticos de SolarWinds. Microsoft y las firmas de seguridad FireEye y CrowdStrike también han sido atacadas, aunque CrowdStrike ha dicho que el intento de infectar su red no tuvo éxito. Las agencias gubernamentales informadas como afectadas incluyen los Departamentos de Defensa, Justicia, Tesoro, Comercio y Seguridad Nacional, así como los Institutos Nacionales de Salud.
