Los piratas informáticos de SolarWinds continúan atacando con una nueva infracción de Microsoft

Los piratas informáticos del estado-nación que orquestó el ataque a la cadena de suministro de SolarWinds, comprometió la computadora de un empleado de Microsoft y utilizó el acceso para lanzar ataques dirigidos contra clientes corporativos, dijo Microsoft en una declaración concisa publicada el viernes por la tarde.

El grupo de piratas informáticos también comprometió a tres entidades utilizando técnicas de rociado de contraseñas y de fuerza bruta que obtienen acceso no autorizado a las cuentas al bombardear los servidores de inicio de sesión con una gran cantidad de intentos de inicio de sesión. Con la excepción de las tres entidades sin nombre, Microsoft dijo que la campaña de rociado de contraseñas fue «en su mayoría infructuosa». Desde entonces, Microsoft ha notificado a todos los objetivos si los ataques tuvieron éxito o no.

Los descubrimientos se produjeron como parte de la investigación en curso de Microsoft sobre Nobelium, el nombre de Microsoft para el sofisticado grupo de piratas informáticos que utilizaron actualizaciones de software SolarWinds y otros medios para comprometer las redes de nueve agencias gubernamentales de EE. UU. Y 100 empresas privadas. El gobierno alemán ha declarado que Nobelium es parte del Servicio Federal de Seguridad del gobierno ruso.

«Como parte de nuestra investigación sobre esta actividad en curso, también descubrimos malware que roba información en una computadora que pertenece a uno de nuestros representantes de servicio al cliente que tenía acceso a la información básica de la cuenta de un pequeño número de nuestros clientes», dijo Microsoft en una publicación. . «El actor usó esta información en algunos casos para lanzar ataques muy dirigidos como parte de su campaña más amplia».

Según Reuters, Microsoft publicó la divulgación de la infracción después de que uno de los reporteros de la agencia de noticias le preguntó a la compañía sobre la notificación que envió a los clientes atacados o pirateados. Microsoft no reveló la infección de la computadora del empleado hasta el cuarto párrafo de la publicación de cinco partes.

El agente infectado, según Reuters, podría, entre otras cosas, acceder a la información de contacto de facturación y los servicios pagados por los clientes. «Microsoft advirtió a los clientes afectados que tengan cuidado al comunicarse con sus contactos de facturación y que consideren cambiar estos nombres de usuario y direcciones de correo electrónico, así como bloquear los nombres de usuario antiguos para que no inicien sesión», informó el servicio de noticias.

El ataque a la cadena de suministro de SolarWinds se conoció en diciembre. Después de que Nobelium pirateó la empresa con sede en Austin, Texas, y tomó el control de su sistema de creación de software, Nobelium distribuyó actualizaciones maliciosas a aproximadamente 18.000 clientes de SolarWinds.

«El último ataque cibernético informado por Microsoft no afecta a nuestra empresa ni a nuestros clientes de ninguna manera», dijo un representante de SolarWinds en un correo electrónico.

El ataque a la cadena de suministro de SolarWinds no fue la única forma en que Nobelium comprometió sus objetivos. El proveedor de anti-malware Malwarebytes dijo que también fue infectado por Nobelium, pero a través de un vector diferente, la compañía no pudo identificar.

Tanto Microsoft como el proveedor de administración de correo electrónico Mimecast dijeron que también fueron pirateados por Nobelium, que luego utilizó los compromisos para piratear clientes o socios de la empresa.

Microsoft dijo que la actividad de rociado de contraseñas estaba dirigida a clientes específicos, incluido el 57 por ciento de empresas de TI, el 20 por ciento de organizaciones gubernamentales y el resto de ellas organizaciones no gubernamentales, centros de estudios y empresas de servicios financieros. Aproximadamente el 45 por ciento de las actividades se centraron en los intereses de Estados Unidos, el 10 por ciento en los clientes británicos y un número menor en Alemania y Canadá. En total, se abordaron clientes en 36 países.

Reuters, citando a un portavoz de Microsoft, dijo que la violación de seguridad anunciada el viernes no era parte del anterior ataque exitoso de Nobelium a Microsoft. La compañía aún tiene que proporcionar detalles importantes, incluido cuánto tiempo estuvo comprometida la computadora del agente y si el compromiso afectó a una computadora administrada por Microsoft en una red de Microsoft o un dispositivo de un contratista en una red doméstica.

La revelación del viernes fue un shock para muchos analistas de seguridad.

«Quiero decir, Jesús, si Microsoft no puede mantener su propio equipo libre de virus, ¿cómo va a hacer eso el resto del mundo empresarial?», Me dijo Kenn White, un investigador de seguridad independiente. «Habría pensado que los sistemas orientados al cliente estaban entre los más robustos de todos».

Esta historia apareció originalmente en Ars Technica.

Más historias geniales de WIRED