A medida que los investigadores de ciberseguridad continúan reconstruyendo el extenso ataque a la cadena de suministro de SolarWinds, los altos ejecutivos de la firma de servicios de software con sede en Texas culparon a un becario por un error crítico de contraseña que pasó desapercibido durante varios años.

Originalmente se creía que dicha contraseña “solarwinds123” era de acceso público a través de un repositorio de GitHub desde el 17 de junio de 2018, antes de que se solucionara la configuración incorrecta el 22 de noviembre de 2019.

Pero en una audiencia ante los Comités de Supervisión y Reforma y Seguridad Nacional de la Cámara de Representantes en SolarWinds el viernes, el director ejecutivo Sudhakar Ramakrishna testificó que la contraseña había estado en uso ya en 2017.

Si bien una investigación preliminar sobre el ataque reveló que los operadores detrás de la campaña de espionaje lograron comprometer la construcción de software y la infraestructura de firma de código de la plataforma SolarWinds Orion ya en octubre de 2019 para entregar la puerta trasera Sunburst, los esfuerzos de respuesta a incidentes de Crowdstrike apuntaron a una línea de tiempo revisada que estableció la primera violación de la red SolarWinds el 4 de septiembre de 2019.

Hasta la fecha, al menos 9 agencias gubernamentales y 100 empresas del sector privado han sido vulneradas en lo que se describe como una de las operaciones más sofisticadas y mejor planificadas que involucró la plataforma de software Orion con el objetivo de comprometer a sus clientes.

La importancia de la Política de Contraseñas y su cumplimiento

El ex director ejecutivo Kevin Thompson se hizo eco de la declaración de Ramakrishna durante el testimonio. “Eso se relacionó con un error que cometió un becario, e incumplió nuestras políticas de contraseñas y publicaron esa contraseña en su propia cuenta privada de GitHub. Tan pronto como fue identificado y puesto en conocimiento de mi equipo de seguridad, lo retiraron”.

El investigador de seguridad Vinoth Kumar reveló en diciembre que notificó a la compañía sobre un repositorio de GitHub de acceso público que estaba filtrando las credenciales FTP del sitio web de descarga de la compañía, agregando que un delincuente informático podría usar las credenciales para cargar un ejecutable malicioso y agregarlo a una Actualización de SolarWinds.

Posteriormente, SolarWinds recibió una demanda colectiva en enero de 2021 en la que alegaban que la compañía no reveló que “desde mediados de 2020, los productos de monitorización de SolarWinds Orion tenían una vulnerabilidad que permitía a los delincuentes informáticos comprometer el servidor en el que el los productos se ejecutaron, y que el servidor de actualización de SolarWinds tenía una contraseña de fácil acceso de ‘solarwinds123‘, como resultado de lo cual la empresa sufriría un daño significativo en la reputación”. Se cree que hasta 18.000 clientes de SolarWinds han recibido la actualización de Orion troyanizada, aunque el actor de amenazas detrás de la operación eligió cuidadosamente sus objetivos, optando por escalar los ataques solo en un puñado de casos mediante la implementación del malware Teardrop basado en la información acumulada durante un reconocimiento inicial. del entorno objetivo para cuentas y activos de alto valor.

Además de infiltrarse en las redes de Microsoft, FireEye, Malwarebytes, CrowdStrike y Mimecast, se dice que los atacantes también utilizaron SolarWinds como punto de partida para entrar en la Administración Nacional de Aeronáutica y del Espacio (NSA) y la Administración Federal de Aviación (FAA). , según el Washington Post.

Las otras siete agencias violadas son los Departamentos de Estado, Justicia, Comercio, Seguridad Nacional, Energía, Tesoro y los Institutos Nacionales de Salud.

“Además de esta estimación, hemos identificado más víctimas del gobierno y del sector privado en otros países, y creemos que es muy probable que queden otras víctimas aún no identificadas, quizás especialmente en regiones donde la migración a la nube no está tan avanzada como parece”, dijo el presidente de Microsoft, Brad Smith, durante la audiencia.

El grupo de amenazas, supuestamente de origen ruso, está siendo rastreado bajo diferentes apodos, incluidos UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) y Dark Halo (Volexity).

“Los atacantes lanzaron el ataque desde el interior de Estados Unidos, lo que dificultó aún más que el gobierno de Estados Unidos observara su actividad”, dijo la asesora adjunta de Seguridad Nacional Anne Neuberger en una sesión informativa en la Casa Blanca el mes pasado. “Este es un actor sofisticado que hizo todo lo posible para ocultar sus huellas. Creemos que les tomó meses planificar y ejecutar este compromiso”.

SolarWinds, por su parte, dijo que está implementando el conocimiento obtenido del incidente para evolucionar hacia una empresa “segura por diseño” y que está implementando protección adicional contra amenazas y software de búsqueda de amenazas en todos sus terminales de red, incluidas medidas para salvaguardar sus entornos de desarrollo.