Registrarse
Registrarse

Presuntos piratas informáticos rusos utilizaron proveedores de Microsoft

25.12.2020 - Роман Евдокимов
Presuntos piratas informáticos rusos utilizaron proveedores de Microsoft

Los presuntos piratas informáticos rusos detrás del peor ciberataque de Estados Unidos en años aprovecharon el acceso de revendedores a los servicios de Microsoft Corp para penetrar objetivos que no tenían software de red comprometido de SolarWinds Corp, dijeron los investigadores.

Si bien las actualizaciones del software Orion de SolarWinds eran anteriormente el único punto de entrada conocido, la compañía de seguridad CrowdStrike Holdings Inc dijo el jueves que los piratas informáticos habían ganado acceso al proveedor que le vendió las licencias de Office y lo usaron para intentar leer el correo electrónico de CrowdStrike. No identificó específicamente a los piratas informáticos como los que comprometieron SolarWinds, pero dos personas familiarizadas con la investigación de CrowdStrike dijeron que sí.

CrowdStrike utiliza programas de Office para el procesamiento de textos, pero no para el correo electrónico. El intento fallido, realizado hace meses, fue señalado a CrowdStrike por Microsoft el 15 de diciembre.

CrowdStrike, que no usa SolarWinds, dijo que no encontró ningún impacto en el intento de intrusión y se negó a nombrar al revendedor.

“Entraron a través del acceso del revendedor e intentaron habilitar los privilegios de ‘lectura’ del correo”, dijo a Reuters una de las personas familiarizadas con la investigación. “Si hubiera estado usando Office 365 para el correo electrónico, se habría terminado”.

Muchas licencias de software de Microsoft se venden a través de terceros y esas empresas pueden tener acceso casi constante a los sistemas de los clientes a medida que los clientes agregan productos o empleados.

“Nuestra investigación de ataques recientes ha encontrado incidentes relacionados con el abuso de credenciales para obtener acceso, que pueden presentarse en varias formas”, dijo el director senior de Microsoft, Jeff Jones. “No hemos identificado ninguna vulnerabilidad o compromiso de los productos o servicios en la nube de Microsoft”.

El uso de un revendedor de Microsoft para intentar ingresar a una de las principales empresas de defensa digital plantea nuevas preguntas sobre cuántas vías tienen a su disposición los piratas informáticos, que según funcionarios estadounidenses operan en nombre del gobierno ruso.

Las víctimas conocidas hasta ahora incluyen al rival de seguridad de CrowdStrike, FireEye Inc, y los Departamentos de Defensa, Estado, Comercio, Tesoro y Seguridad Nacional de EE. UU. Otras grandes empresas, incluidas Microsoft y Cisco Systems Inc, dijeron que encontraron software SolarWinds contaminado internamente, pero no habían encontrado señales de que los piratas informáticos lo usaran para abarcar ampliamente sus redes.

Hasta ahora, SolarWinds, con sede en Texas, era el único canal confirmado públicamente para los allanamientos iniciales, aunque los funcionarios han estado advirtiendo durante días que los piratas informáticos tenían otras formas de ingresar.

Microsoft luego insinuó que sus clientes aún deberían ser cautelosos. Al final de una publicación de blog larga y técnica el martes, usó una oración para mencionar que los piratas informáticos llegaron a Microsoft 365 Cloud “desde cuentas de proveedores confiables donde el atacante había comprometido el entorno del proveedor”.

Microsoft requiere que sus proveedores tengan acceso a los sistemas de los clientes para poder instalar productos y permitir nuevos usuarios. Pero descubrir qué proveedores todavía tienen derechos de acceso en un momento dado es tan difícil que CrowdStrike desarrolló y lanzó una herramienta de auditoría para hacerlo.

Después de una serie de otras violaciones a través de proveedores de la nube, incluido un importante conjunto de ataques atribuidos a piratas informáticos respaldados por el gobierno chino y conocidos como CloudHopper, Microsoft impuso este año nuevos controles a sus revendedores, incluidos los requisitos para la autenticación multifactor.

La Agencia de Seguridad de Infraestructura y Ciberseguridad y la Agencia de Seguridad Nacional no hicieron comentarios de inmediato.

También el jueves, SolarWinds lanzó una actualización para corregir las vulnerabilidades en su software insignia de administración de red, Orion, luego del descubrimiento de un segundo grupo de piratas informáticos que se habían dirigido a los productos de la compañía. Eso siguió a una publicación separada en el blog de Microsoft el viernes que decía que SolarWinds tenía su software dirigido por un segundo grupo de piratas informáticos no relacionados, además de los vinculados a Rusia.

La identidad del segundo grupo de piratas informáticos, o el grado en que pueden haber entrado con éxito en cualquier lugar, sigue sin estar clara.

Rusia ha negado haber tenido algún papel en la piratería.

Notificación de cookies: Utilizamos cookies para asegurarnos de brindarle la mejor experiencia en nuestro sitio web. Si continúa utilizando este sitio, asumimos que está satisfecho con él. Lee más.

Descargo de responsabilidad por riesgo “TS Software Ltd – Trust Company Complex, Ajeltake Road, Majuro, Ajeltake Island, MH 96960, Marshall Islands Es una institución de servicios financieros fuera del área de la Unión Europea, que está sujeta a la supervisión del Certificado IFMRRC 0395 AA V0155 El comercio de Forex / CFD y otros derivados es altamente especulativo y conlleva un alto nivel de riesgo. Es posible perder todo su capital. El 70% de los acuerdos comerciales pueden no ser rentables. Es posible que estos productos no sean adecuados para todos y debe asegurarse de comprender los riesgos involucrados. Busque asesoramiento independiente si es necesario. Especule solo con fondos que pueda permitirse perder. Este sitio web puede contener información en particular sobre servicios y productos financieros que podrían considerarse b a E.U. autoridad de supervisión como una oferta de servicios financieros dirigidos en Europa. Las medidas de intervención de la ESMA no se aplican a los clientes de TS Software Ltd y es su responsabilidad elegir la compañía que sea más adecuada para sus necesidades comerciales. Al hacer clic en continuar, confirma que ha leído, entendido y acepta las divulgaciones de riesgos, los términos de servicio, las políticas de efectivo, las políticas de privacidad y este aviso y que está visitando este sitio web por iniciativa propia, sin ningún tipo de estímulo por parte de umarkets.net o TS Software Ltd”. Notificación de cookies: Utilizamos cookies para asegurarnos de brindarle la mejor experiencia en nuestro sitio web. Si continúa utilizando este sitio, asumimos que está satisfecho con él. Lee más. Continuar
×

Help with deposit?