TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las actualizaciones liberadas por SolarWinds a los productos afectados.
Vector de ataque: Red.
Impacto: Ciberespionaje.

Descripción

Una organización gubernamental de Estados Unidos, CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) ha emitido una alerta informando que el grupo de ciberdelincuentes conocido como “APT29” o “Cozy Bear”, el cual forma parte de la inteligencia del país de Rusia, ha dirigido una amplia campaña de ciberespionaje al departamento de Tesorería, Comercio y otras agencias gubernamentales de EE.UU. mediante el servidor de actualizaciones de un sistema de administración de red creado por la empresa “SolarWinds”.

Entre las víctimas de esta campaña, se encuentran empresas gubernamentales, de consultoría, tecnología, telecomunicaciones, de petróleo y gas en América del Norte, Europa, Asia y Oriente Medio representando un grave problema, ya que tan solo en Estados Unidos los productos SolarWinds son utilizados por las cinco ramas del ejército, el Pentágono, el Departamento de Estado, el Departamento de Justicia, la NASA, la Oficina Ejecutiva del presidente, la Agencia de Seguridad Nacional y diez principales empresas de telecomunicaciones.

El domingo pasado, SolarWinds publicó un comunicado advirtiendo a los usuarios que la plataforma de monitoreo SolarWinds Orion actualizada en marzo y junio de este año podrían haber sido modificados, además, la empresa presentó el día de hoy un documento ante la Comisión de Bolsa y Valores de Estados Unidos, donde menciona que alrededor de 18 mil, de los más de 300 mil clientes instalaron la actualización del software de monitoreo que permitió el ataque ruso, sin embargo, se desconoce la cantidad exacta de sistemas afectados.

Cabe mencionar que no es la primera vez que este grupo ha dirigido este tipo de campañas, ya que en el año 2014 y 2015 llevaron a cabo una campaña de ciberespionaje dirigida a miles de organizaciones en donde incluso afectaron los sistemas de correo electrónico de la casa blanca, el Estado Mayor Conjunto del Pentágono y el Departamento de Estado.

Según las investigaciones, se cree que esta campaña tiene relación con el incidente cibernético de FireEye de la semana pasada, por lo cual, CISA también recomienda que se evalúen los sistemas frente a las vulnerabilidades aprovechadas en este ataque, además de aplicar las actualizaciones correspondiente según sea el caso, también recomienda revisar y aplicar las contramedidas publicadas por la empresa FireEye, las cuales pueden ser consultadas en la siguiente URL:

Ante lo sucedido, el Departamento de Seguridad del gobierno de Estados Unidos ha emitido una alerta solicitando a las agencias federales y civiles buscar indicadores de compromiso en la red, así como desconectar o apagar los productos SolarWinds Orion de inmediato, además de enviar un informe de finalización antes del medio día de hoy. Dicha alerta puede ser consultada en la siguiente URL:

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • Software SolarWinds Orion Platform 2019.4 HF 5 hasta 2020.2.1 HF 1

Medidas de erradicación

Referencias