Los piratas informáticos de SolarWinds consiguen nuevas víctimas, incluido un profesional de soporte técnico de Microsoft



Un teléfono y la pared detrás de él comparten un logotipo de Solarwinds.

Los piratas informáticos del estado nacional que organizaron el ataque a la cadena de suministro de SolarWinds pusieron en peligro la computadora de un empleado de Microsoft y utilizaron el acceso para lanzar ataques dirigidos contra clientes corporativos, dijo Microsoft en una declaración concisa publicada el viernes por la tarde.

El grupo de piratería también comprometió a tres entidades con técnicas de rociado de contraseñas y fuerza bruta que obtienen acceso no autorizado a las cuentas bombardeando los servidores de inicio de sesión con una gran cantidad de consejos de inicio de sesión. Con la excepción de las tres entidades anónimas, Microsoft dijo que la campaña de rociado de contraseñas fue «en su mayoría infructuosa». Desde entonces, Microsoft ha notificado a todos los objetivos si los ataques tuvieron éxito o no.


Entra Nobelium

Los descubrimientos se produjeron como parte de la investigación en curso de Microsoft sobre Nobelium, el nombre de Microsoft para el sofisticado grupo de piratas informáticos que utilizaron actualizaciones de software SolarWinds y otros medios para comprometer las redes de nueve agencias gubernamentales de EE. UU. Y 100 empresas privadas. El gobierno alemán ha declarado que Nobelium es parte del Servicio Federal de Seguridad del gobierno ruso.

«Como parte de nuestra investigación sobre esta actividad en curso, también descubrimos malware que roba información en una computadora que pertenece a uno de nuestros representantes de servicio al cliente que tenía acceso a la información básica de la cuenta de un pequeño número de nuestros clientes», dijo Microsoft en una publicación. . «El actor usó esta información en algunos casos para lanzar ataques muy dirigidos como parte de su campaña más amplia».

Según Reuters, Microsoft publicó la divulgación de la infracción después de que uno de los reporteros de la agencia de noticias le preguntó a la compañía sobre la notificación que envió a los clientes atacados o pirateados. Microsoft no reveló la infección de la computadora del empleado hasta el cuarto párrafo de la publicación de cinco partes.


Según Reuters, el agente infectado podría acceder a la información de contacto de facturación y los servicios pagados por los clientes, entre otras cosas. «Microsoft advirtió a los clientes afectados que tengan cuidado al comunicarse con sus contactos de facturación y que consideren cambiar estos nombres de usuario y direcciones de correo electrónico, y bloquear el inicio de sesión de los nombres de usuario antiguos», informó el servicio de noticias.

El ataque a la cadena de suministro de SolarWinds se conoció en diciembre. Después de que Nobelium pirateó la empresa con sede en Austin, Texas y tomó el control de su sistema de creación de software, Nobelium distribuyó actualizaciones maliciosas a aproximadamente 18.000 clientes de SolarWinds.

Una amplia variedad de destinos

El ataque a la cadena de suministro de SolarWinds no fue la única forma en que Nobelium comprometió sus objetivos. El proveedor de anti-malware Malwarebytes dijo que también fue infectado por Nobelium, pero a través de un vector diferente, la compañía no pudo identificar.

Tanto Microsoft como el proveedor de administración de correo electrónico Mimecast dijeron que también fueron pirateados por Nobelium, que luego utilizó los compromisos para piratear clientes o socios de la empresa.

Microsoft dijo que la actividad de rociado de contraseñas estaba dirigida a clientes específicos, incluido el 57 por ciento de empresas de TI, el 20 por ciento de organizaciones gubernamentales y el resto, organizaciones no gubernamentales, centros de estudios y empresas de servicios financieros. Aproximadamente el 45 por ciento de las actividades se centraron en los intereses estadounidenses, el 10 por ciento en los clientes británicos y un número menor en Alemania y Canadá. Se abordaron un total de clientes en 36 países.

Reuters, citando a un portavoz de Microsoft, dijo que la brecha de seguridad anunciada el viernes no era parte del anterior ataque exitoso de Nobelium a Microsoft. La compañía aún tiene que proporcionar detalles importantes, incluido cuánto tiempo estuvo comprometida la computadora del agente y si el compromiso afectó a una computadora administrada por Microsoft en una red de Microsoft o un dispositivo de un contratista en una red doméstica.

La revelación del viernes fue un shock para muchos analistas de seguridad.

«Quiero decir, Jesús, si Microsoft no puede mantener su propio equipo libre de virus, ¿cómo va a hacer eso el resto del mundo empresarial?», Me dijo Kenn White, oficial de seguridad de productos de MongoDB. «Habría pensado que los sistemas orientados al cliente se encontraban entre los más robustos de todos».


Deja una respuesta

Tu dirección de correo electrónico no será publicada.