10 + leídas del dia


icon

Desnudan el código interno de Microsoft

Microsoft admitió, el jueves 31/12, que los piratas informáticos detrás del gigantesco ciberataque que tenía como objetivo los sistemas del gobierno de USA y empresas privadas habían ido más lejos en su red de lo que había informado el gigante del software hasta entonces. El ciberataque comenzó en marzo cuando los piratas informáticos aprovecharon una actualización del software de monitoreo desarrollado por una empresa de Texas y utilizado por decenas de miles de empresas y gobiernos de todo el mundo.

FireEye fue fundada en 2004 por Ashar Aziz, un ex ingeniero de Sun Microsystems. El primer producto comercial de FireEye no se vendió hasta 2010. En diciembre de 2012, el fundador Aziz dimitió como director ejecutivo y asumió el ex director ejecutivo de McAfee, David DeWalt, contratado para preparar una oferta pública inicial (OPI). finales de 2013, FireEye se hizo pública, recaudando US$ 300 millones. Sin embargo, FireEye aún no era rentable. En diciembre de 2013, FireEye adquirió Mandiant por US$ 1.000 millones. Mandiant daba servicios de respuesta a incidentes en caso de una violación de la seguridad de los datos. Después, FireEye adquirió nPulse. Pero aún no era rentable. En enero de 2016, FireEye adquirió iSIGHT Partners, empresa de inteligencia de amenazas que recopilaba información sobre grupos de piratas informáticos y otros riesgos de ciberseguridad. E Invotas, empresa de automatización de seguridad de TI.

Un portavoz de Microsoft se negó a decir qué productos o sistemas internos se vieron afectados por la intrusión.

SolarWinds Inc. es una empresa estadounidense que desarrolla software para empresas para ayudar a administrar sus redes , sistemas e infraestructura de tecnología de la información. SolarWinds comenzó en 1999 en Tulsa, Oklahoma, cofundada por Donald Yonce (ex ejecutivo de Walmart) y su hermano David Yonce (en la foto). Durante 2007, SolarWinds recaudó fondos de Austin Ventures, Bain Capital e Insight Venture Partners. Y completó una oferta pública inicial de US$ 112,5 millones en mayo de 2009, en tiempos difíciles para la Bolsa. En 2013, Forbes la nombró "Mejor pequeña empresa de Estados Unidos". SolarWinds empleaba a unas 900 personas. Luego compró Silver Lake Partners y Thoma Bravo. Un producto de SolarWinds, Orion, utilizado por unos 33.000 clientes del sector público y privado, fue el foco de un hackeo a gran escala divulgado en diciembre de 2020, supuestamente perpetrado por la inteligencia rusa.

El ataque a SolarWinds se remonta al menos a octubre de 2019 y ha provocado una serie de investigaciones cibernéticas dentro del gobierno y la industria privada. 
A través de una puerta trasera que los atacantes instalaron en el software de red Orion de SolarWinds, los piratas informáticos encontraron su camino hacia los sistemas que pertenecen al Departamento de Seguridad Nacional, el Departamento de Estado, los departamentos del Tesoro y Comercio, y otros.

Los hackers, sospechosos de estar vinculados a Rusia según las autoridades estadounidenses, tuvieron acceso al código fuente de la empresa al hackear la cuenta de un empleado, especificó Microsoft en su blog corporativo. 

Ellos pudieron acceder a sistemas internos y ver el código fuente interno que se utiliza para crear productos de software, dijo la compañía.

Sin embargo, el ataque, que fue más lejos de lo que Microsoft había pensado inicialmente, no comprometió ni modificó ninguno de sus programas, aseguró la compañía.

Microsoft había confirmado previamente que había descargado software malicioso de un proveedor llamado SolarWinds Corp., que había sido modificado por los piratas informáticos.

"Detectamos una actividad inusual en una pequeña cantidad de cuentas internas y, tras la verificación, descubrimos que se había utilizado una cuenta para ver el código fuente en varios repositorios", reveló Microsoft en su blog dedicado a la seguridad. 

Luego agregó: “La cuenta que utilizaron no tenía la autoridad para cambiar el código o los sistemas de ingeniería y nuestra investigación posteriormente confirmó que no se habían realizado cambios. Estas cuentas han sido revisadas y enmendadas".

Según Microsoft, esto "no ha puesto en peligro la seguridad de nuestros servicios o los datos de los clientes, pero queremos ser transparentes y compartir lo que hemos aprendido mientras luchamos contra lo que creemos que es un actor estatal muy sofisticado". 

Microsoft había identificado previamente "aplicaciones maliciosas de SolarWinds" en sus sistemas.

El ciberataque 

El ciberataque se lanzó en marzo 2020, según informes del gobierno de USA, y los piratas informáticos aprovecharon una actualización del software de monitoreo desarrollado por una empresa de Texas, SolarWinds, utilizado por decenas de miles de empresas y administraciones en el mundo.

A mediados de diciembre, el ataque afectó a los sistemas informáticos de las agencias gubernamentales de USA, incluidos los departamentos de estado, comercio, tesorería, seguridad nacional e institutos nacionales de salud.

El canciller Mike Pompeo y el entonces procurador general, Bill Barr, colaboradores de Donald Trump, sospecharon que Moscú estaba detrás del ciberataque, una opinión que no comparte el Presidente de USA, quien ha minimizado la operación y el supuesto papel de Rusia.

El reconocimiento de Microsoft plantea el fantasma de que los piratas informáticos pueden haber comprometido a otras empresas de tecnología, dijo Sherri Davidoff, directora ejecutiva de la consultora de seguridad LMG Security LLC. "Es por eso que estos piratas informáticos persiguen a estas empresas", dijo. “No quieren tener acceso a una sola empresa. Quieren acceso a todo".

Un portavoz de Microsoft se negó a decir qué productos o sistemas internos se vieron afectados por la intrusión.

La empresa "no ha encontrado evidencia de acceso a servicios de producción o datos de clientes" y "no hay indicios de que nuestros sistemas se hayan utilizado para atacar a otros", dijo la empresa.

El ataque a SolarWinds se remonta al menos a octubre de 2019 y ha provocado una serie de investigaciones cibernéticas dentro del gobierno y la industria privada. 
A través de una puerta trasera que los atacantes instalaron en el software de red Orion de SolarWinds, los piratas informáticos encontraron su camino hacia los sistemas que pertenecen al Departamento de Seguridad Nacional, el Departamento de Estado, los departamentos del Tesoro y Comercio y otros.

El ataque

Los piratas informáticos también comprometieron al menos a un revendedor de los servicios informáticos basados ​​en la nube de Microsoft y trataron de usar eso como una forma de obtener acceso a los correos electrónicos pertenecientes al proveedor de ciberseguridad CrowdStrike Inc. Ese intento no tuvo éxito , dijo CrowdStrike la semana pasada. Microsoft es la segunda empresa de computación en la nube más grande del mundo después de Amazon.com Inc.

El ataque SolarWinds pasó desapercibido durante meses y fue descubierto por FireEye Inc., una empresa de ciberseguridad, cuando los piratas informáticos activaron una alarma. FireEye puso a más de 100 detectives cibernéticos en el trabajo de investigar el pirateo de sus sistemas, antes de finalmente concentrarse en el software de SolarWinds como la fuente del compromiso.

Los investigadores corporativos y del gobierno de USA todavía están tratando de evaluar qué información pudieron obtener los piratas informáticos sobre lo que los funcionarios de ciberseguridad han caracterizado como una de las mayores violaciones de las redes de USA en años.

Las tecnologías de desarrollo de software se han considerado durante mucho tiempo un objetivo sensible en los ciberataques. Los desarrolladores de software utilizan los sistemas de gestión de código fuente , como al que acceden los piratas informáticos de Microsoft, para crear sus productos. Obtener acceso a ellos podría brindarles a los piratas informáticos información sobre nuevas formas de atacar estos productos, dicen los expertos en seguridad.

"Tener el código fuente puede reducir la cantidad de tiempo y análisis para identificar vulnerabilidades, pero los atacantes aún pueden identificar vulnerabilidades sin código fuente", dijo Window Snyder, ex director de seguridad de Square Inc. "Es otra herramienta en la caja de herramientas".

En el caso de SolarWinds, los atacantes pudieron hacer más que simplemente ver el código fuente. Pusieron en peligro el sistema que utilizó SolarWinds para ensamblar sus productos de software terminados y pudieron introducir código malicioso en las actualizaciones de software de SolarWinds que se enviaron a unos 18.000 clientes, incluidos Microsoft y FireEye.