El dominio de SolarWinds se convirtió en un lastre en la campaña de espías en expansión


(Reuters) – En una llamada de resultados hace dos meses, el director ejecutivo de SolarWinds, Kevin Thompson, habló de lo lejos que había llegado la empresa durante sus 11 años al mando.

No había una base de datos o un modelo de implementación de TI al que su empresa con sede en Austin, Texas, no proporcionara algún nivel de supervisión o gestión, dijo a los analistas en la llamada del 27 de octubre.

“No creemos que nadie más en el mercado esté realmente cerca en términos de la amplitud de cobertura que tenemos”, dijo. “Gestionamos el equipo de red de todos”.

Ahora que el dominio se ha convertido en una responsabilidad, un ejemplo de cómo el software de caballo de batalla que ayuda a unir a las organizaciones puede volverse tóxico cuando es subvertido por piratas informáticos sofisticados.

El lunes, SolarWinds confirmó que Orion, su software de gestión de red insignia, había servido como conducto involuntario para una operación internacional de ciberespionaje en expansión. Los piratas informáticos insertaron código malicioso en las actualizaciones de software de Orion distribuidas a casi 18.000 clientes.

Y aunque se cree que el número de organizaciones afectadas es mucho más modesto, los piratas informáticos ya han aprovechado su acceso para generar violaciones consecuentes en el Tesoro y el Departamento de Comercio de EE. UU.

Tres personas familiarizadas con la investigación han dicho a Reuters que Rusia es uno de los principales sospechosos, aunque otros familiarizados con la investigación han dicho que aún es demasiado pronto para decirlo.

Un representante de SolarWinds, Ryan Toohey, dijo que no pondría ejecutivos a disposición para hacer comentarios. No proporcionó respuestas oficiales a las preguntas enviadas por correo electrónico.

En un comunicado emitido el domingo, la compañía dijo que “nos esforzamos por implementar y mantener las salvaguardas administrativas, físicas y técnicas, los procesos de seguridad, los procedimientos y los estándares adecuados diseñados para proteger a nuestros clientes”.

Los expertos en ciberseguridad todavía están luchando por comprender el alcance del daño.

Las actualizaciones maliciosas, enviadas entre marzo y junio, cuando Estados Unidos se estaba preparando para capear la primera ola de infecciones por coronavirus, fueron “el momento perfecto para una tormenta perfecta”, dijo Kim Peretti, copresidente del bufete de abogados Alston & Bird’s con sede en Atlanta. equipo de preparación y respuesta en ciberseguridad.

Evaluar el daño sería difícil, dijo.

“Es posible que no sepamos el impacto real durante muchos meses, si no más, si no alguna vez”, dijo.

El impacto en SolarWinds fue más inmediato. Los funcionarios estadounidenses ordenaron a cualquiera que ejecutara Orion que lo desconectara de inmediato. Las acciones de la compañía han caído más de un 23% desde 23,50 dólares el viernes, antes de que Reuters diera la noticia de la infracción, a 18,06 dólares el martes.

La seguridad de SolarWinds, mientras tanto, ha sido objeto de un nuevo escrutinio.

En un problema que no se había informado anteriormente, varios delincuentes se han ofrecido a vender el acceso a las computadoras de SolarWinds a través de foros clandestinos, según dos investigadores que tenían acceso por separado a esos foros.

Uno de los que ofrecieron acceso reclamado al foro Exploit en 2017 se conocía como “fxmsp” y el FBI lo busca “por estar involucrado en varios incidentes de alto perfil”, dijo Mark Arena, director ejecutivo de la firma de inteligencia de delitos cibernéticos Intel471. Arena informó a los clientes de su empresa, que incluyen a las fuerzas del orden de EE. UU.

El investigador de seguridad Vinoth Kumar dijo a Reuters que, el año pasado, alertó a la empresa de que cualquiera podía acceder al servidor de actualizaciones de SolarWinds utilizando la contraseña “solarwinds123”.

“Esto podría haberlo hecho cualquier atacante, fácilmente”, dijo Kumar.

Ni la contraseña ni el acceso robado se consideran la fuente más probable de la intrusión actual, dijeron los investigadores.

Otros, incluido Kyle Hanslovan, cofundador de la empresa de ciberseguridad con sede en Maryland Huntress, notaron que, días después de que SolarWinds se diera cuenta de que su software había sido comprometido, las actualizaciones maliciosas aún estaban disponibles para descargar.

La firma ha planteado durante mucho tiempo la idea de la escisión de su negocio de proveedores de servicios administrados y el 9 de diciembre anunció que Thompson sería reemplazado por Sudhakar Ramakrishna, el ex director ejecutivo de Pulse Secure. Hace tres semanas, SolarWinds publicó un anuncio de trabajo buscando un nuevo vicepresidente de seguridad; la posición todavía aparece como abierta.

Thompson y Ramakrishna no pudieron ser contactados para hacer comentarios.

(Reporte de Raphael Satter y Christopher Bing. Jack Stubbs contribuyó con reportajes desde Londres; Editado por Lisa Shumaker)

Latest articles

Empresa social natural de teñido anudado que mejora las habilidades de la juventud de Malasia

Shaqira Ramli y su esposo comenzaron a vender tapices hechos a mano de la India en los bazares de Malasia occidental y luego...

Dos adultos y un niño de 9 años mueren tras un incidente en el lago Lomond de Escocia

Dos adultos y un niño de 9 años han muerto y un niño de 7 años está en cuidados intensivos después de tener...

‘Como un martillo que nos golpea en la cabeza’: casas en llamas en California mientras los incendios forestales occidentales se desatan

El incendio de Dixie en California fue uno de al menos 88 incendios forestales importantes en 13 estados. El incendio ha destruido...

La estrella de Glee Jenna Ushkowitz se casa con David Stanley en Los Ángeles

Glee es una forma de describir Jenna Ushkowitzfin de semana! El sábado 24 de julio la Alegría la actriz se casó con su novio...
49.6k Followers
Follow

Related articles

Leave a reply

Please enter your comment!
Please enter your name here

Translate »