Otro grupo de hackers estuvo involucrado en un ciberataque contra el software de SolarWinds, que era utilizado por varias agencias del gobierno federal, dijo Microsoft en una actualización.
Una investigación reveló «un malware adicional que también afecta al producto Orion de SolarWinds, pero se ha determinado que probablemente no esté relacionado con este comprometimiento», dijo Microsoft el 18 de diciembre. Es muy probable que el malware haya sido «utilizado por un actor de amenaza diferente», dijo, sugiriendo que otro grupo puede haber estado involucrado en la violación.
«Este código proporciona al atacante la capacidad de enviar y ejecutar cualquier programa C# arbitrario en el dispositivo de la víctima. Microsoft Defender Antivirus detecta esta DLL comprometido como Trojan:MSIL/Solorigate.G!dha», dijo la compañía.
SolarWinds, un vendedor tercero, dijo que sus sistemas se vieron comprometidos después de que los hackers violaran las actualizaciones Orion de la firma y distribuyeran malware. La Agencia de Seguridad Cibernética y de Infraestructura del Departamento de Seguridad Nacional (DHS) dijo que el ataque fue más significativo de lo que pensaban.
«Uno de los vectores de acceso inicial para esta actividad es una cadena de suministro comprometida de los siguientes productos de Orion de SolarWinds. CISA tiene evidencia de otros vectores de acceso inicial, además de la plataforma Orion de SolarWinds; sin embargo, éstos todavía están siendo investigados», dijo CISA en un comunicado el 17 de diciembre.
Y los funcionarios esperan «que la eliminación de este actor de amenaza de los entornos comprometidos será muy compleja y desafiante para las organizaciones» y señalaron que el adversario tiene vectores adicionales de acceso inicial y tácticas, técnicas y procedimientos que aún no han sido descubiertos», dijo CISA.
La Oficina del Director de Inteligencia Nacional, CISA, y otras agencias de inteligencia dijeron que el ataque está «en curso», y añadieron que «el comprometimiento ha afectado a las redes dentro del gobierno federal».
Chris Krebs, el exdirector de CISA, dijo a CNN que el ataque ocurrió mientras él era el jefe de la agencia.
“Sucedió mientras yo estaba a cargo (…) sin embargo hay trabajo que hacer ahora para asegurarnos de que A: superemos esto, para sacar a los rusos de las redes, pero, B: que nunca vuelva a suceder”, comentó Krebs.
Según un reportaje del Wall Street Journal, aparte del gobierno federal, un grupo de grandes corporaciones habían usado Orion de SolarWinds.
El gigante de la tecnología Cisco Systems Inc., Intel Corp., Nvidia Corp., VMware Inc., Belkin International Inc., la Universidad Estatal de Kent, y muchas más utilizaron el software, según el reporte.
«En este momento, no se conoce el impacto en las ofertas o productos de Cisco», dijo al periódico un portavoz de la empresa, añadiendo que encontró el malware en algunos sistemas de los empleados. Las otras compañías confirmaron a WSJ que estaban al tanto del malware.
Un portavoz de la Universidad Estatal de Kent agregó que la institución «estaba al tanto de la situación y está evaluando este grave asunto».
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí
A continuación
Máquinas de votación Dominion declaradas como un «problema de seguridad nacional»
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.