Los detalles del ataque SolarWinds 2020 aún están evolucionando, y pueden pasar años antes de que se cuente el daño final.
“Es difícil decir que la piratería de la cadena de suministro de software de SolarWinds es un ciberataque con el mayor daño jamás visto, pero a pesar de las frecuentes advertencias de la industria de la seguridad de que la cadena de suministro presenta riesgos significativos”, dijo Eric Parrizo, analista senior de operaciones de seguridad en la firma de investigación Omdia. . “Sacó a una persona del camino”.
Los ataques de Solarwinds no tienen precedentes y tienen graves consecuencias físicas. Experto en Gestión de Riesgos e Ingeniería Industrial y Profesor de Administración de Empresas en la Universidad de Richmond, Cital Techdi, dijo: “Este ataque es un evento crítico que tiene el potencial de afectar a proveedores de infraestructura clave, afectando potencialmente las capacidades de energía y fabricación y puede causar daños graves. Tienes que lidiar con eso ”, dijo.
La línea de tiempo de cómo se han desarrollado los incidentes relacionados con el hack de Solarwinds hasta ahora es la siguiente.
Cómo se descubrió el ataque el 8 de diciembre de 2020
La empresa de ciberseguridad FireEye anunció que fueron víctimas de ataques estatales. El equipo de seguridad de FireEye informó que el kit de herramientas del Red Team que contiene una aplicación utilizada por un pirata informático ético fue robado en una prueba de penetración.
13 de diciembre de 2020. Sunburst, detección temprana
FireEye descubrió los ataques a la cadena de suministro mientras investigaba los ataques estatales contra su kit de herramientas del Equipo Rojo. Los investigadores descubrieron accidentalmente evidencia de que un atacante troyanó una actualización del software SolarWins, SolarWinds Orion Business Software, y entró por una puerta trasera que propaga código malicioso. FireEye lo llamó SUNBURST.
13 de diciembre de 2020. CISA emite directrices urgentes
La Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) ha tomado varios pasos hacia las investigaciones forenses de las agencias gubernamentales afectadas, apagando y desconectando o desconectando inmediatamente la versión del producto SolarWinds Orion desde abril de 2019 hasta el 1 de febrero de 2020 HF1, o emitió instrucción urgente 21- 01 para bloquear.
14 de diciembre de 2020. El Washington Post informa sobre las acciones del grupo de hackers ruso
El Washington Post informó que el ataque fue realizado por un grupo de piratas informáticos rusos conocidos como Cozy Bear, que está asociado con SVR, una agencia de inteligencia extranjera rusa.
15 de diciembre de 2020. Nominación de víctimas
El Wall Street Journal informó que el Departamento de Comercio, el Tesoro, la Seguridad Nacional, los Institutos Nacionales de Salud y el Departamento de Estado de EE. UU. Se vieron afectados. Varios funcionarios de seguridad y proveedores han expresado su seriedad en el hecho de que el ataque se extendió mucho más rápido y más amplio de lo esperado. Se confirmó que la fecha inicial del ataque era alrededor de marzo de 2020, lo que significa que el ataque se llevó a cabo durante varios meses hasta diciembre cuando se detectó el ataque.
Además, comenzaron a surgir más detalles técnicos, que muestran qué tan bien el atacante manejó la actividad maliciosa y por qué era difícil de detectar.
17 de diciembre de 2020. Divulgación de nuevas víctimas
El Departamento de Energía de EE. UU. (DOE) y la Administración Nacional de Seguridad Nuclear (NNSA), que administra las reservas de armas nucleares de EE. UU., Han sido nominados públicamente como víctimas adicionales del ataque.
19 de diciembre de 2020. Más de 200 organizaciones y empresas de víctimas adicionales identificadas
La empresa de ciberseguridad Recorded Future ha verificado además una lista de agencias gubernamentales y empresas de todo el mundo que han sido atacadas, pero no ha revelado sus identidades.
El entonces presidente de Estados Unidos, Donald Trump, utilizó Twitter para dejar su primer comentario sobre el ataque. Trump insistió públicamente en que la fuente provenía de China, no de Rusia, y explicó que el hackeo era una estafa. El secretario de Estado de Estados Unidos, Mike Pompeo, y otros altos funcionarios de la administración se opusieron el mismo día y dijeron: “Lo único que se puede decir con bastante claridad son los rusos que llevaron a cabo este ataque”.
31 de diciembre de 2020. Microsoft anuncia daños
Microsoft dijo que un atacante ruso había violado parte del código fuente. “Los atacantes no pudieron modificar su código, productos o correos electrónicos, y no usaron productos de Microsoft para atacar a otras víctimas”, dijo. Como resultado, se cree que el ataque comenzó antes de octubre de 2019 cuando el atacante invadió Solarwinds.
5 de enero de 2021. Declaración conjunta del FBI, CISA, ODNI y NSA publicada
El FBI, CISA, la Oficina del Director Nacional de Inteligencia (ODNI) y la Agencia de Seguridad Nacional (NSA) emitieron conjuntamente una declaración sobre la formación del Grupo de Coordinación Unificado Cibernético.
La declaración indica que los atacantes de APT, supuestamente de origen ruso, son responsables de la mayoría o de todas las infracciones cibernéticas descubiertas recientemente por el gobierno y las organizaciones no gubernamentales.
6 de enero de 2021. CISA anuncia orientación adicional
De acuerdo con la guía adicional de CISA, las agencias gubernamentales de EE. UU. Que ejecutan versiones de SolarWinds Orion deben realizar análisis forenses. Se pidió a las agencias que presentaran informes de los CIO a nivel de departamento que cumplieran con los requisitos específicos de fortalecimiento. Las fechas límite para el informe del CIO por agencia fueron el 19 de enero y el 25 de enero de 2021.
27 de enero de 2021. CISA publica Malware Super Nova Report
CISA ha publicado un informe sobre Supernova, un malware distribuido utilizando vulnerabilidades en la plataforma Orion.
29 de enero de 2021. SolarWinds anuncia recomendaciones para Sunburst y Super Nova
SolarWinds ha publicado recomendaciones para Sunburst y Super Nova.
19 de febrero de 2021. La administración de Biden declara sanciones rusas por el ataque Solarwinds
La administración de Biden ha declarado que castigará a Rusia por el ataque SolarWinds. El reportero de seguridad nacional de Estados Unidos, Jake Sullivan, dijo a CNN que la administración de Biden examinará una respuesta más amplia después de investigar para identificar más al atacante.
23 de febrero de 2021. Primera audiencia del Congreso
Microsoft y FireEye testificaron ante el Comité de Inteligencia del Senado de los Estados Unidos sobre el ataque Solarwinds. Los registros de audición y videos están disponibles en C-Span. “Los investigadores dijeron que creen que al menos 1.000 ingenieros muy calificados y competentes trabajaron en el hack de SolarWinds”, dijo Brad Smith, presidente de Microsoft.
“Esta es la ofensiva más grande y sofisticada que jamás hayamos visto”, dijo Smith a los senadores. Smith defendió las acciones de Microsoft antes y después del ataque y señaló a Rusia como el sujeto de todas las acciones de ataque.
26 de febrero de 2021. Segunda audiencia
La Comisión de Reforma de Supervisión de la Cámara de Representantes de EE. UU. Y la Comisión de Seguridad Nacional celebraron una audiencia conjunta para investigar incidentes recientes de ciberseguridad que afectaron a redes gubernamentales y privadas, incluidos ataques a la cadena de suministro y otros ataques cibernéticos contra el software SolarWinds Orion. El 17 de diciembre, la Comisión comenzó a investigar los ataques cibernéticos y el 18 de diciembre, el Grupo Unificado de Coordinación brindó informes confidenciales por teléfono sobre los ataques.
24 de febrero de 2021. Preguntas frecuentes sobre las versiones de SolarWinds: Aviso de seguridad
SolarWinds ha publicado una pregunta frecuente: aviso de seguridad. Este aviso brindó orientación adicional sobre cómo determinar si los clientes de SolarWinds se vieron afectados, qué acciones tomar y responder preguntas relacionadas.
15 de marzo de 2021. FBI, ‘investigación en curso’
Un portavoz del Departamento de Asuntos Públicos de la Oficina de Asuntos Públicos del FBI solo dijo “la investigación está en curso” cuando nuestro diario le preguntó sobre el estado actual del ataque Solarwinds.
28 de marzo de 2020. Jefe del Departamento de Seguridad Nacional de la Administración Trump, Hacking de correo electrónico
The Associated Press informó que los atacantes de SolarWinds pudieron obtener acceso a las cuentas de correo electrónico del director del Departamento de Seguridad Nacional (DHS) de la administración Trump y a los oficiales de ciberseguridad encargados de las amenazas de caza en otros países.
Lo que ocurrirá en el futuro
Está claro para todos que el impacto de este ataque continuará mientras Estados Unidos y el mundo miden el costo y la escala del ataque SolarWinds.
Amanda Berlin, consultora de seguridad y coautora del Manual de seguridad defensiva, dijo: “Hay una serie de razones por las que un atacante pudo mantener la persistencia sin el conocimiento de la empresa, incluso si un sistema vulnerable todavía estaba presente o el sistema vulnerable estaba parcheado. Es posible que algunos ataques de SolarWinds ni siquiera sepan que SolarWinds está presente en su red. Es posible que el personal que instaló Orion ya no esté contratado, que los empleados clave no hayan escuchado la noticia o que la empresa no tenga las herramientas para detectarla. “Debido a que tantos entornos limitan la visibilidad de lo que está sucediendo, es posible que nunca se sepa hasta que algo salga mal”.
En cualquier caso, si no se aplican las lecciones aprendidas del ataque a la cadena de suministro de SolarWinds, es probable que el futuro sea sombrío.
“Desde una perspectiva a largo plazo, las empresas deben asegurarse de tener un programa de prevención de violación de datos, asumiendo que todas las demás defensas fallan”, dijo Pariso de Omdia. “Necesitamos crear tantas oportunidades como sea posible para prevenir o interferir, o al menos detectar rápidamente”.
“También debe tener en cuenta las mejores prácticas de gestión de riesgos de software, como Cyber Supply Chain Risk Management (C-SCRM) del NIST, así como establecer un conjunto de requisitos de seguridad de software que los proveedores de software deben cumplir antes de la compra”, Parrizo agregado. . editor@itworld.co.kr
Source: ITWorld Korea by www.itworld.co.kr.
*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
