Microsoft revela un nuevo truco de cliente vinculado a los ciberatacantes de SolarWinds

Microsoft Corp. dijo que los piratas informáticos, vinculados por las autoridades estadounidenses al Servicio de Inteligencia Exterior de Rusia, instalaron software malicioso para robar información en uno de sus sistemas y utilizaron la información recopilada allí para atacar a sus clientes.

Los piratas informáticos pusieron en peligro una computadora utilizada por un empleado de soporte al cliente de Microsoft que podría haber proporcionado acceso a diferentes tipos de información, incluidos “metadatos” de cuentas e información de contacto de facturación de la organización, dijo un portavoz de Microsoft.

Microsoft tiene conocimiento de tres clientes que se vieron afectados por la actividad reciente, dijo la compañía en una publicación de blog.

“El actor usó esta información en algunos casos para lanzar ataques altamente dirigidos como parte de su campaña más amplia”, dijo Microsoft. “Respondimos rápidamente, eliminamos el acceso y aseguramos el dispositivo”.

El incidente fue parte de una campaña más amplia, que involucró otras técnicas de piratería más allá de aprovechar la información extraída de su sistema de soporte, que se dirigió principalmente a empresas de tecnología y agencias gubernamentales en 36 países.

Deberías leer:   Tesla se prepara para obtener ganancias récord mientras navega por la escasez global de chips

La mayoría de los ataques no tuvieron éxito, pero tres de los clientes de Microsoft se vieron comprometidos durante la campaña, dijo la compañía. “Hemos confirmado que dos de los compromisos no estaban relacionados con el problema del agente de soporte y continuamos investigando la tercera instancia”, dijo un portavoz de Microsoft.

Microsoft identificó a los piratas informáticos detrás del robo como Nobelium, el mismo grupo asociado con el sofisticado ataque al fabricante de software SolarWinds con sede en Austin, Texas. Corp.

SWI 0,93%

Las autoridades estadounidenses han dicho que este grupo es parte del Servicio de Inteligencia Exterior de Rusia, conocido como SVR. Rusia ha negado su participación en el hack de SolarWinds. Un representante de la embajada rusa no respondió de inmediato un mensaje en busca de comentarios sobre la publicación del blog de Microsoft.

“Esto debería preocuparnos a todos”, dijo Sherri Davidoff, directora ejecutiva de la consultora de seguridad LMG Security LLC. “Los piratas informáticos superaron las defensas de uno de los proveedores de tecnología más sofisticados del mundo, cuyo software es la base de toda nuestra economía”.

Deberías leer:   Startup afirma un gran avance en baterías de larga duración

El incidente marca la segunda vez en los últimos meses que los piratas informáticos vinculados a Rusia han violado las redes de Microsoft. En diciembre, Microsoft dijo que los piratas informáticos de Nobelium habían irrumpido en las redes de la empresa para ver el código fuente interno, que se utiliza para crear productos de software.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. Está “al tanto de esta actividad y está trabajando con Microsoft y nuestros socios interinstitucionales para evaluar el impacto”, dijo un portavoz del Departamento de Seguridad Nacional, que supervisa la agencia. “Estamos listos para ayudar a las entidades afectadas”. Se negó a decir si el hackeo había afectado a alguna agencia gubernamental.

El ciberataque a la empresa de software de red SolarWinds se utilizó para obtener acceso a decenas de empresas. El CEO de FireEye, Kevin Mandia, explica lo que podemos aprender del ataque que podría brindar una mejor protección en el futuro.

Las brechas en Microsoft y SolarWinds han suscitado preocupación entre los profesionales de seguridad del gobierno y de la industria de que los piratas informáticos rusos están comprometidos en un esfuerzo concertado y de larga data para ingresar a las empresas de tecnología de EE. UU. Y utilizarlas como una puerta trasera en los objetivos gubernamentales y comerciales, una táctica conocida como “Ataque a la cadena de suministro”.

“Esto muestra que SVR continúa ejecutando ataques a la cadena de suministro. En este caso particular, perseguir a una persona de soporte en Microsoft que claramente tiene información y conexiones con los clientes de Microsoft “. dijo Dmitri Alperovitch, un ex investigador de ciberseguridad que es presidente ejecutivo del grupo de expertos Silverado Policy Accelerator.

Se sabe que alrededor de 100 empresas y al menos nueve agencias gubernamentales se vieron comprometidas durante el ataque SolarWinds, que pasó desapercibido durante meses antes de que se descubriera el pasado otoño.

“El último ciberataque informado por Microsoft no involucra a nuestra empresa ni a nuestros clientes de ninguna manera”, dijo un portavoz de SolarWinds.

En abril, la administración Biden reveló una serie de sanciones contra Rusia citando, entre otras cosas, el ciberataque SolarWinds. Rusia ha denunciado las sanciones.

Desde entonces, los piratas informáticos vinculados a Rusia han dejado en claro que tienen la intención de continuar con su actividad. En mayo, Microsoft dijo que descubrió que los piratas informáticos estaban involucrados en una campaña de phishing dirigida a 3.000 cuentas de correo electrónico pertenecientes a trabajadores de más de 150 organizaciones.

A principios de este mes, el presidente Biden dijo que advirtió a su homólogo ruso, Vladimir Putin, que habría consecuencias de los ataques cibernéticos a Estados Unidos en la primera reunión en persona de los dos líderes en Suiza.

“Los ataques a la cadena de suministro están aquí para quedarse con nosotros”, dijo Alperovitch. “No terminaron con SolarWinds”.

Escribir a Robert McMillan en [email protected]

Copyright © 2020 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8

Fuente: WSJ