Esta semana un sofisticado ciberataque contra SolarWinds encendió las alarmas en Estados Unidos, puesto que se trata del proveedor de soluciones IT de no solo grandes empresas en el país, sino de organizaciones gubernamentales como las NASA, el Pentágono y las fuerzas aéreas.
En medio de la creciente preocupación por un ciberataque que ha afectado a varias compañías tecnológicas y agencias gubernamentales de los Estados Unidos, Microsoft encontró software malicioso en sus sistemas. De acuerdo a lo informado por Reuters, la compañía logró «aislar y eliminar» la vulnerabilidad.
Apenas ayer la agencia de armas nucleares de EEUU confirmaba que habían sido hackeados en el ataque a SolarWinds. Al mismo tiempo Microsoft también confirmaba que sus sistemas habían sido expuestos al malware. Brad Smith, presidente de la empresa, escribió en detalle cómo de serio es el problema y cómo han identificado víctimas en Canadá, México, Bélgica, España, Reino Unido, Israel y los Emiratos Árabes Unidos.
Uno de sus productos que ofrece SolarWinds, Orion, ampliamente utilizado en ámbitos estatales y privados a nivel global, ha sido víctima de presuntos ataques.
«Necesitamos una respuesta de ciberseguridad sólida y global»
Microsoft explicó que como otros clientes de SolarWinds, han estado buscando indicaciones del malware y encontraron binarios maliciosos en su entorno, pero lograron aislarlos y eliminarlos. Le empresa dice que hasta ahora no han encontrado evidencia de que se haya accedido a datos de sus clientes o servicios de producción.
Antes de Microsoft, FireEye Inc. descubrió que su seguridad había sido vulnerada. Lejos de que los problemas terminaran a allí, con el pasar de los días se dieron a conocer otros objetivos de los presuntos hackers, entre los que se encuentran los departamentos del Tesoro y de Comercio. Tanto la Administración Nacional de Seguridad Nuclear como el Departamento de Energía también aseguraron tener evidencia de accesos no autorizados a sus redes informáticas privadas.
Sin embargo, Microsoft también ha estado notificando esta semana a más de 40 clientes a que los atacantes apuntaron con más precisión y que fueron comprometidos a través de métodos más sofisticados.
Aunque aproximadamente el 80% de esos clientes están en Estados Unidos, la empresa ha identificado más víctimas en el resto del mundo y esperan que el número de afectados siga creciendo y se extienda a más paises.
Según Brad Smith, este ataque representa una seria vulnerabilidad tecnológica para Estados Unidos y el mundo
Smith advierte por ello que se trata de un ataque de rango muy amplio y que sigue en marcha. Las investigaciones de Microsoft hasta ahora concluyen que se trata de «un ataque notable por su alcance, sofisticación e impacto».
El presidente de Microsoft cree que «no es sólo un ataque a objetivos específicos, sino a la confianza y fiabilidad de la infraestructura crítica del mundo para hacer avanzar la agencia de inteligencia de una nación». Aunque Smith no llega a acusar explícitamente a Rusia, si deja en la mesa que creen que hay pruebas indiscutibles sobre el origen de estos ataques.
Smith citó al CEO de FireEye, Kevin Mandia, que tras revelar el reciente ataque dijo que estaban siendo «testigos de un ataque de una nación con capacidades ofensivas de primer nivel».
Mientras que los expertos en seguridad de Microsoft ayudan en la respuesta, hemos llegado a la misma conclusión. Lamentablemente, el ataque representa un amplio y exitoso asalto basado en el espionaje tanto a la información confidencial del Gobierno de los Estados Unidos como a las herramientas tecnológicas utilizadas por las empresas para protegerlas. El ataque está en curso y está siendo investigado y abordado activamente por los equipos de seguridad de los sectores público y privado, incluida Microsoft.
Este ataque apuntó directamente al sistema de monitorización y administración de redes Orion de SolarWinds. Se cree que se introdujo una puerta trasera con la última actualización en marzo de 2020 que comprometió Orion y por ende la infraestructura de las empresas que lo utilizan.
De esas empresas, 425 forman parte del Fortune 500, desde las 10 mayores empresas de telecomunicaciones hasta la cinco agencias militares de Estados Unidos. Como reportó SolarWinds, los atacantes instalaron su malware en una actualización de Orion que puede haber sido instalada por más de 17.000 clientes.