Microsoft dice que los piratas informáticos de SolarWinds robaron el código fuente de 3 productos

Figuras en sombras se encuentran debajo de un logotipo de Microsoft en una pared de madera de imitación.

Los piratas informáticos detrás de una de las peores infracciones en la historia de Estados Unidos leyeron y descargaron algunos códigos fuente de Microsoft, pero no hay evidencia de que hayan podido acceder a servidores de producción o datos de clientes, dijo Microsoft el jueves. El fabricante de software también dijo que no encontró evidencia de que los piratas informáticos usaran el compromiso de Microsoft para atacar a los clientes.

Microsoft publicó esos hallazgos después de completar una investigación que comenzó en diciembre, después de enterarse de que su red se había visto comprometida. La violación fue parte de un hackeo de amplio alcance que comprometió el sistema de distribución del software de administración de red Orion de SolarWinds, ampliamente utilizado, y envió actualizaciones maliciosas a Microsoft y aproximadamente a otros 18,000 clientes.

Luego, los piratas informáticos utilizaron las actualizaciones para comprometer a nueve agencias federales y alrededor de 100 empresas del sector privado, la Casa Blanca. dijo el miércoles. El gobierno federal ha dicho que los piratas informáticos probablemente estaban respaldados por el Kremlin.

en un publicar el jueves por la mañana, Microsoft dijo que había completado su investigación sobre el pirateo de su red.

“Nuestro análisis muestra que la primera visualización de un archivo en un repositorio de origen fue a fines de noviembre y terminó cuando aseguramos las cuentas afectadas”, indicó el informe del jueves. “Continuamos viendo intentos fallidos de acceso por parte del actor hasta principios de enero de 2021, cuando los intentos se detuvieron”.

La gran mayoría del código fuente nunca fue accedido, y para aquellos repositorios a los que se accedió, solo se vieron “unos pocos” archivos individuales como resultado de una búsqueda en el repositorio, dijo la compañía. No hubo ningún caso en el que se accediera a todos los repositorios de un producto o servicio determinado, agregó la compañía.

Para un número “pequeño” de repositorios, hubo acceso adicional, incluida la descarga de código fuente. Los repositorios afectados contenían código fuente para:

  • un pequeño subconjunto de componentes de Azure (subconjuntos de servicio, seguridad, identidad)
  • un pequeño subconjunto de componentes de Intune
  • un pequeño subconjunto de componentes de Exchange

El informe del jueves continuó diciendo que, según las búsquedas que los piratas informáticos realizaron en los repositorios, su intención parecía ser descubrir “secretos” incluidos en el código fuente.

“Nuestra política de desarrollo prohíbe los secretos en el código y ejecutamos herramientas automatizadas para verificar el cumplimiento”, escribieron los funcionarios de la empresa. “Debido a la actividad detectada, de inmediato iniciamos un proceso de verificación de las ramas actuales e históricas de los repositorios. Hemos confirmado que los repositorios cumplían y no contenían ninguna credencial de producción activa “.

La campaña de piratería comenzó a más tardar en octubre de 2019, cuando los atacantes utilizaron el sistema de compilación del software SolarWinds en una ejecución de prueba. La campaña no se descubrió hasta el 13 de diciembre, cuando la empresa de seguridad FireEye, víctima en sí misma, reveló por primera vez el compromiso de SolarWinds y el ataque resultante a la cadena de suministro de software a sus clientes. Otras organizaciones afectadas incluyen Malwarebytes, Mimecast y los departamentos de Energía, Comercio, Tesoro y Seguridad Nacional de EE. UU.

Leave a Reply

Your email address will not be published. Required fields are marked *