El actor de amenazas detrás de un extenso ataque a la cadena de suministro de SolarWinds que afectó a varias agencias gubernamentales de EE. UU., Así como a varias empresas privadas, incluidas FireEye y Microsoft , supuestamente realizó una prueba de la campaña de ciberespionaje el año pasado.
Citando a personas familiarizadas con el asunto, Yahoo News informó que los atacantes desplegaron archivos maliciosos de la red SolarWinds en octubre de 2019, cinco meses antes de que los archivos informados anteriormente se enviaran a las víctimas a través del servidor de actualización de software de la compañía. A diferencia del pirateo de SolarWinds 2020, estos archivos maliciosos no contenían una puerta trasera y no fueron detectados hasta diciembre de 2020.
“Pensamos que querían probar si iba a funcionar o no y si sería detectado. Así que fue más o menos un ensayo ”, dijo una fuente familiarizada con la investigación. “Se tomaron su tiempo. Decidieron no salir con una puerta trasera real de inmediato. Eso significa que son un poco más disciplinados y deliberados ".
“Esto nos dice que el actor tuvo acceso al entorno de SolarWinds mucho antes de este año. Sabemos que, como mínimo, tuvieron acceso el 10 de octubre de 2019. Pero ciertamente habrían tenido que tener acceso por más tiempo ”, dijo la fuente. "Así que esa intrusión [en SolarWinds] tiene que originarse probablemente al menos un par de meses antes de eso, probablemente al menos a mediados de 2019 [si no antes]".
Los archivos maliciosos se descubrieron en los sistemas de varias víctimas; sin embargo, los investigadores hasta ahora no han encontrado evidencia de que estos archivos se hayan utilizado para realizar actividades maliciosas en las máquinas comprometidas. Cinco meses después, los atacantes desplegaron nuevos archivos maliciosos en los servidores de actualización de software de SolarWinds que instalaron una puerta trasera en las redes de las víctimas que permitían a los piratas informáticos acceder directamente a ellos.
La empresa de seguridad FireEye fue la primera en denunciar una infracción de seguridad que resultó en el robo de sus herramientas de seguridad Red Team. Charles Carmakal, vicepresidente senior y director de tecnología de Mandiant, el brazo de respuesta a incidentes de FireEye, no dijo cuándo se produjo exactamente la infracción, sin embargo, señaló que “los atacantes no estuvieron en su empresa durante los ocho meses completos entre el momento en que las actualizaciones de software primero estuvieron disponibles para que los clientes las descargaran desde el servidor SolarWinds y el momento en que FireEye descubrió la infracción ".
Carmakal le dijo a Yahoo News que la intrusión se descubrió después de que los atacantes inscribieran un dispositivo en el sistema de autenticación multifactor de FireEye, que los empleados de FireEye usan para iniciar sesión de forma remota en la VPN de la compañía. Luego registraron su dispositivo con la red FireEye para obtener los códigos únicos que activan el sistema de seguridad de FireEye que emitió una alerta automática al equipo de seguridad de la compañía de que un dispositivo desconocido supuestamente perteneciente al empleado de la empresa estaba registrado en el sistema de autenticación multifactor de la empresa.
“Tuvieron que proporcionar credenciales para autenticar [su dispositivo] en el [sistema de autenticación multifactor] para poder autenticarse en FireEye VPN”, dijo Carmakal. “Fue el proceso que siguió el atacante para inscribirse en la solución MFA que es lo que generó la alerta. Pero en este punto, el atacante ya tenía el nombre de usuario y la contraseña del empleado ".
Una investigación posterior reveló que los piratas informáticos habían obtenido acceso a la red a través del software malicioso SolarWinds.
Carmakal no dijo cómo los piratas informáticos obtuvieron las credenciales después de eso o cuántas credenciales de empleados robaron.
