Los piratas informáticos de SolarWinds atacan a nuevas víctimas, incluido un agente de soporte de Microsoft

Un teléfono y la pared detrás de él comparten un logotipo de vientos solares.

Los piratas informáticos del estado-nación que orquestaron el ataque a la cadena de suministro de SolarWinds comprometieron la computadora de un trabajador de Microsoft y usaron el acceso para lanzar ataques dirigidos contra los clientes de la empresa, dijo Microsoft en un breve comunicado publicado el viernes por la tarde.

El grupo de piratería también comprometió a tres entidades utilizando técnicas de fuerza bruta y de difusión de contraseñas, que obtienen acceso no autorizado a las cuentas al bombardear los servidores de inicio de sesión con un gran número de conjeturas de inicio de sesión. Con la excepción de las tres entidades no reveladas, dijo Microsoft, la campaña de rociado de contraseñas fue “en su mayoría infructuosa”. Desde entonces, Microsoft ha notificado a todos los objetivos, ya sea que los ataques hayan tenido éxito o no.

Introduzca Nobelio

Los descubrimientos se produjeron en la investigación continua de Microsoft sobre Nobelium, el nombre de Microsoft para el sofisticado grupo de piratas informáticos que usó actualizaciones de software de SolarWinds y otros medios para comprometer redes pertenecientes a nueve agencias estadounidenses y 100 empresas privadas. El gobierno federal ha dicho que Nobelium es parte del Servicio de Seguridad Federal del gobierno ruso.

“Como parte de nuestra investigación sobre esta actividad en curso, también detectamos malware que roba información en una máquina que pertenece a uno de nuestros agentes de atención al cliente con acceso a la información básica de la cuenta de un pequeño número de nuestros clientes”, dijo Microsoft en una publicación. “El actor usó esta información en algunos casos para lanzar ataques altamente dirigidos como parte de su campaña más amplia”.

Según Reuters, Microsoft publicó la divulgación de la infracción después de que uno de los reporteros del medio de comunicación le preguntó a la compañía sobre la notificación que envió a los clientes objetivo o pirateados. Microsoft no reveló la infección de la computadora del trabajador hasta el cuarto párrafo de la publicación de cinco párrafos.

El agente infectado, dijo Reuters, podría acceder a la información de contacto de facturación y los servicios que pagaron los clientes, entre otras cosas. “Microsoft advirtió a los clientes afectados que tengan cuidado con las comunicaciones con sus contactos de facturación y consideren cambiar esos nombres de usuario y direcciones de correo electrónico, así como prohibir el inicio de sesión con nombres de usuario antiguos”, informó el servicio de noticias.

El ataque a la cadena de suministro de SolarWinds salió a la luz en diciembre. Después de piratear la empresa con sede en Austin, Texas, y tomar el control de su sistema de creación de software, Nobelium envió actualizaciones maliciosas a unos 18 000 clientes de SolarWinds.

“El último ataque cibernético informado por Microsoft no involucra a nuestra empresa ni a nuestros clientes de ninguna manera”, dijo un representante de SolarWinds en un correo electrónico.

Una amplia variedad de objetivos.

El ataque a la cadena de suministro de SolarWinds no fue la única forma en que Nobelium comprometió sus objetivos. El proveedor de antimalware Malwarebytes ha dicho que también fue infectado por Nobelium pero a través de un vector diferente, que la empresa no identificó.

Tanto Microsoft como el proveedor de gestión de correo electrónico Mimecast también han dicho que ellos también fueron pirateados por Nobelium, que luego utilizó los compromisos para piratear a los clientes o socios de las empresas.

Microsoft dijo que la actividad de rociado de contraseñas estaba dirigida a clientes específicos, el 57 por ciento de ellos empresas de TI, el 20 por ciento organizaciones gubernamentales y el resto organizaciones no gubernamentales, grupos de expertos y servicios financieros. Alrededor del 45 por ciento de la actividad se centró en los intereses de los EE. UU., el 10 por ciento se centró en los clientes del Reino Unido y un número menor se centró en Alemania y Canadá. En total, se apuntó a clientes en 36 países.

Reuters, citando a un portavoz de Microsoft, dijo que la violación revelada el viernes no formaba parte del anterior ataque exitoso de Nobelium contra Microsoft. La compañía aún tiene que proporcionar detalles clave, incluido cuánto tiempo estuvo comprometida la computadora del agente y si el compromiso afectó a una máquina administrada por Microsoft en una red de Microsoft o un dispositivo de un contratista en una red doméstica.

La revelación del viernes sorprendió a muchos analistas de seguridad.

“Quiero decir, Jesús, si Microsoft no puede mantener su propio kit libre de virus, ¿cómo se supone que lo hará el resto del mundo corporativo?” Kenn White, investigador de seguridad independiente, me lo dijo. “Habría pensado que los sistemas orientados al cliente serían algunos de los más reforzados”.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Deja un comentario