Por Gabriel Zurdo, CEO de BTR Consulting y Especialista en Ciberseguridad, Riesgo Tecnológico y de Negocios
Tal como venimos advirtiendo la tasa de incremento de ciberataques y ciberdelitos se aceleró exponencialmente durante la pandemia y la tendencia parece no cambiar, afectando a Gobiernos, Empresas, Familias y Personas.
Al mismo tiempo tomamos conocimiento que Moderna Inc. anunció que la Agencia Europea de Medicamentos (EMA) le informó que fue intrusada y desconocidos accedieron ilegalmente a documentos relacionados con la presentación de su vacuna COVID-19 en un ciberataque y que también fueron vulnerados los controles de acceso a documentos relacionado con el desarrollo de la vacuna Pfizer Inc y BioNTech COVID-19 y que el hack a la plataforma SolarWinds Orion se convierte lentamente en uno de los hackeos más importantes de los últimos años.
Un grupo de piratas informáticos altamente sofisticado ha violado el Departamento del Tesoro de E.E. U.U., La Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de E.E. U.U., Otras agencias gubernamentales y empresas del sector privado a través del software SolarWinds Orion. Los atacantes parecen haberse enfocado solo en una pequeña cantidad de objetivos de alto valor, dejando a la mayoría de los clientes de Orion intactos. El grupo de piratas informáticos logró insertar una puerta trasera en el software que las organizaciones utilizan para la supervisión y gestión de TI.
Se desconoce cómo fue posible infiltrar código fuente que funciona a manera de «back door», pero se sospecha que se comprometió el proceso de compilación interna o los sistemas de distribución de SolarWinds, que luego se distribuyó de forma automática al actualizar las plataformas y sistemas en las redes de destino. Una vez dentro, los atacantes se movieron lateralmente y procedieron a robar datos, realizando también cambios en la configuración de Azure Active Directory.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de E.E.U.U. (CISA) emitió una Directiva de Emergencia que instruye a todas las agencias civiles federales a revisar sus redes en busca de indicadores de compromiso y desconectar o apagar los productos SolarWinds Orion inmediatamente.
Los clientes de SolarWinds incluyen telecomunicaciones de E.E. U.U., las cinco ramas de las fuerzas armadas de E.E. U.U., varias agencias federales de E.E.U.U. incluido el Pentágono, el Departamento de Estado y la Oficina del Presidente de los Estados Unidos y más de 425 de las 500 empresas de Fortune 500 de EE. UU. Todos los dardos apuntan al grupo de hackers APT29, también conocido como Cozy Bear, que tiene vínculos con el Servicio de Inteligencia Exterior de Rusia. SolarWinds se ha visto obligado a presentar un informe ante la bolsa de NYC en el que afirma que la vulnerabilidad se introdujo como resultado de un compromiso del sistema de compilación de software Orion y no estaba presente en el repositorio de código fuente de los productos Orion.
Además, informaron que actualmente la cantidad real de clientes que pueden haber tenido una instalación de los productos Orion que contenían esta vulnerabilidad es de alrededor de 18.000 y que los atacantes probablemente violaron la empresa al comprometer el servicio de emails, que utiliza Microsoft Office 365 como herramientas de productividad de oficina y correo electrónico.