En el año 2020, en los peores momentos de la pandemia para España y para el resto del mundo, saltó la noticia de un ataque masivo a empresas de carácter internacional aprovechando actualizaciones de Orion, un software creado por SolarWinds. Ahora, Microsoft ha descubierto que se está gestando un segundo ataque de calado similar.
Según una publicación del vicepresidente corporativo de la división de Seguridad y Confianza al Cliente de Microsoft, Tom Burt, la empresa ha detectado nueva actividad similar a la que hubo detrás del ataque de SolarWinds, que afectó a más de 320.000 empresas en todo el mundo.
Esta vez, Microsoft apunta directamente a Nobelium, un grupo hacker que estaría detrás de un segundo ataque usando la misma técnica del ataque del 2020, atacando a los clientes de los servicios de computación en la nube y a proveedores de servicios informáticos usadas por cadenas de suministro de todo el mundo.
Un segundo ataque hacker
Burt asegura que Nobelium, este grupo hacker que estaría respaldado por el estado ruso, está intentando "repetir el enfoque que usó en ataques anteriores al dirigirse a organizaciones que forman parte de la cadena de suministro global de la tecnología de la información". El objetivo en este caso son las empresas que personalizan estos servicios de computación en la nube.
La idea básicamente es muy similar. Microsoft ha estado alertando a los socios y clientes vulnerables a estos ataques y ha advertido a más de 140 proveedores de esta tecnología así como a revendedores involucrados. Aún con todo, Microsoft cree que de estos 140 involucrados hasta 14 habrían sido comprometidos por este ataque. De hecho, Microsoft señala a Nobelium cono los autores del ataque original de SolarWinds.
De esta forma, Microsoft ha lanzado un mensaje a estos clientes pidiéndoles que comprueben todas y cada una de sus medidas de seguridad, usando la tecnología de autentificación multifactorial para evitar nuevas consecuencias de estos ataques. Según la firma, estos ataques habrían usado técnicas como robo de contraseñas o phishing para obtener credenciales oficiales e infectar los sistemas desde dentro.
El ataque SolarWinds
La clave del ataque que tuvo lugar en el año 2020 es que los ciberdelincuentes detrás del mismo consiguieron introducir virus en actualizaciones de un software de la firma SolarWinds. El programa, llamado Orion, se usa para monitorización y gestión de redes completas, y es uno de los más usados, a escala mundial. Y este es el problema principal.
Debido a la escala de uso de este software, más de 18.000 organizaciones de todo el mundo habían descargado esta actualización maliciosa. Hablamos de instituciones incluidas, como las de Departamento del Tesoro, del Comercio e incluso la de Seguridad Nacional de Estados Unidos. La opción fue desconectar los sistemas que ejecutaban este software.
La primera acusación la realizó FireEye, una firma de ciberseguridad que detectó el robo de las herramientas usadas para introducir el virus en la actualización, y apuntó a Cozy Bear, una banda vinculada a Rusia y a sus servicios de inteligencia.
Los atacantes consiguieron introducir el virus directamente en el código de Orion y al compilarse, este se programó y envió sin que nadie se diera cuenta. Los hackers habrían tenido acceso a las cuentas de correo de los clientes infectados con el virus, ya que las puertas traseras incluidas en ese software estuvieron abiertas durante al menos 8 meses.
También te puede interesar...
- El supermercado Tesco sufre hackeo que deja a sus clientes sin hacer pedidos durante varios días
- Oleadas de robos de cuentas de Amazon para comprar con tu dinero en Black Friday
- El piloto automático de Tesla, hackeado: así han conseguido acceder a sus datos