Agencias del gobierno de EE. UU. Infectadas en un ataque de malware en la cadena de suministro

En un ataque a la cadena de suministro lanzado recientemente, el Tesoro de EE. UU. Y la NTIA se infectaron con una actualización de software comprometida de SolarWinds. Este ataque fue confirmado por FireEye y Microsoft, quienes informaron sobre las IOC y las medidas de mitigación. Los piratas informáticos detrás de esto estaban asociados con APT29; un grupo de piratas informáticos respaldados por una nación.

¡Actualización de software que sirve al malware!

Según lo informado por varios editores y luego confirmado por compañías de seguridad, el Tesoro de EE. UU. Y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE. UU. Recibieron una actualización de software infectada con malware Orion de SolarWinds.

Orion de SolarWinds es una herramienta de un solo punto diseñada para monitorear y administrar todos los dispositivos en una red, como servidores, estaciones de trabajo, teléfonos celulares y dispositivos IoT. Es utilizado por muchas empresas, incluidas las agencias gubernamentales, como se describe anteriormente. Según los informes, ahora se han modificado con una actualización modificada.

Ataque a la cadena de suministro según lo definido por Microsoft

SolarWinds ideó un Declaración oficial diciendo esto Las actualizaciones de Orion publicadas desde marzo de 2020 y junio de 2020 (v2019.4 a 2020.2.1) estaban infectadas con malware. Y dado que se envía a todos los clientes, es posible que también se hayan infectado.

También se informa que este ataque a la cadena de suministro es la forma en que los piratas informáticos han violó la red FireEye, una empresa de ciberseguridad la semana pasada. Después de eso, varias fuentes, incluidas El Washington Post y Reuters, informó el compromiso del software Orion.

Mientras llamaban a los actores de amenazas detrás de esto, APT29, un grupo de piratas informáticos apoyados por el estado-nación ruso, FireEye lo llamó UNC2452. Poco después de eso, ambos FireEye y Microsoft ha publicado advertencias sobre el ciberataque con IOC y medidas para contrarrestar las situaciones.

El malware en cuestión se llama BRILLANTE (o Solorigate de Microsoft). FireEye agregado reglas de deteccióny Microsoft hizo lo mismo con su software Defender.

Aunque aún no se conoce el número de víctimas afectadas por esta campaña, se cree que los ataques están ocurriendo contra todo tipo de empresas en todo el mundo.