El 20 de enero Microsoft compartió nuevos detalles sobre las técnicas usadas por los atacantes de SolarWinds y cómo consiguieron pasar desapercibidos durante tanto tiempo.

Mientras tratan de recuperarse de los ataques recibidos, varias empresas trabajan para tratar de averiguar cómo se ha realizado este ataque que sin duda alguna, pasa a ser uno de los más sofisticados de toda la historia.

El equipo de atacantes ha sido clasificado como OpSec debido a las prácticas de seguridad que han seguido. Con mucho cuidado trataron de asegurarse que el backdoor inicial (Solorigate) y los implantes posteriores estuvieran lo más separados posible para intentar dificultar al máximo su detección.

La cronología de los ataques de Microsoft muestra que el backdoor Sunburst DLL completamente funcional fue compilado y desplegado en la plataforma Orion de SolarWinds el 20 de febrero, tras lo cual se distribuyó en forma de actualizaciones manipuladas en algún momento de finales de marzo.

Los resultados dejan claro que, aunque los hackers se apoyaron en una serie de vectores de ataque, el software SolarWinds troyanizado constituyó el núcleo de la operación de espionaje.

La mala configuración de permisos, cuentas abandonadas y aplicaciones que no deberían de haber tenido ningún permiso fueron algunos de los vectores que aprovecharon los atacantes

Esto último es de «primero» de seguridad informática y podemos ver que hasta las empresas más grandes del mundo tienen fallos de los más simples.

Más información:

SolarWinds sufre un ataque de cadena de suministro https://unaaldia.hispasec.com/2020/12/solarwinds-sufre-un-ataque-de-cadena-de-suministro.html

Here’s How SolarWinds Hackers Stayed Undetected for Long Enough https://thehackernews.com/2021/01/heres-how-solarwinds-hackers-stayed.html

El FBI, CISA, NSA acusan a Rusia del ciberataque a SolarWinds https://unaaldia.hispasec.com/2021/01/el-fbi-cisa-nsa-acusan-a-rusia-del-ciberataque-a-solarwinds.html