mixx.io #740
Explicando Sunburst
Uno de los mayores ataques informáticos de la historia. Cada nueva pieza del puzzle da más miedo que la anterior
2020 acaba con uno de los mayores hackeos de la historia. Cada día sabemos más de lo que ya se conoce como caso Solorigate/Sunburst, el ataque a miles de ordenadores de empresas y gobiernos a través de SolarWinds, voy a intentar explicarlo hoy.
Aquí tenéis una explicación de la infección y aquí otra explicación de la propagación.
Todo comenzó en marzo... o junio. No se sabe muy bien pero con el impacto del coronavirus un grupo de agentes consiguieron acceder a los servidores de distribución Orion, el software de gestión de redes de SolarWinds.
Se estima que el total de ordenadores infectados es de unos 18.000 máquinas que al menos descargaron el malware.
Modificaron el programa para insertar malware, de tal forma que cuando las nuevas versiones de Orion llegaban automáticamente a los servidores de gobiernos y empresas, los hackers también tenían acceso relativamente amplio a esas máquinas.
¿Quién fue? "No tengo pruebas pero tampoco dudas", es el refrán que ahora mismo mejor representa todas las hipótesis de las agencias de seguridad occidentales. Empieza por Ru-, y acaba por, -sia.
Donald Trump, aún presidente de EE.UU., corrió a Twitter a acusar a China sin que sus agencias y expertos aportasen pruebas.
¿No es Rusia una especie de "ciberhombre del saco" a la que acusar de cualquier cosa? Es difícil probar estas cosas de forma pública porque las investigaciones raramente son expuestas fuera de la vía diplomática. Ellos lo niegan.
¿A qué servidores han accedido? En principio a varios ministerios de EE.UU., incluyendo los del Tesoro y Comercio, los sistemas del Pentágono e incluso los ordenadores de la Administración de Seguridad Nuclear Nacional estadounidense.
También ha infectado organizaciones en España y México, según Microsoft, además de otros países occidentales. Sabemos poco del impacto fuera de EE.UU., aunque sospecho que veremos más y más infecciones con el pasode las semanas.
Segundo ataque de SolarWinds. La investigación sobre Sunburst/Solarigate ha revelado otro ataque anterior en 2019 que Microsoft ha denominado Supernova, realizado por un segundo equipo ruso. No queda claro si fue exitoso.
Ya en 2019 expertos vieron que los servidores de distribución de SolarWinds no estaban bien vigilados, incluso se reveló que la clave de acceso era "solarwinds123".
Las miradas también apuntan a VMWare. Investigaciones posteriores indican que un fallo de seguridad en VMWare pudo haber permitido a los hackers entrar a los servidores de SolarWinds originalmente, dejando via libre para todo lo mencionado.
¿Y ahora qué? De momento se ha creado un mecanismo para detener la distribución cortando el acceso a los servidores de comando y control. Más allá de eso, esperar.
----
🌐 ¿Quieres escuchar mixx.io sin anuncios? Apúntate en Patreon y descubre todas las ventajas ser colaborador.
- Camisetas
- Tazas
- Pegatinas
- Feed RSS exclusivo sin publicidad de todos los programas.
----
- Canal de Telegram https://t.me/mixx_io
- Grupo de Telegram: https://t.me/mixxiocomunidad
----
Y recuerda que puedes seguir mixx.io también en:
- Newsletter: https://newsletter.mixx.io
- Twitter: https://twitter.com/mixx_io
- Web: https://mixx.io
- Mastodon: https://cuonda.social/@mixxio
Para contactar conmigo, puedes:
- Email: alex@barredo.es
- Twitter: https://twitter.com/somospostpc
- Telegram: https://t.me/postpc
- Mastodon: https://mastodon.social/@barredo
