Múltiples agencias importantes Estadounidenses fueron hackeadas usando SolarWinds

Recientemente se ha detectado una campaña de ataque a múltiples agencias Estadounidenses, que han tenido como objetivo el Departamento del Tesoro, la Administración Nacional de Telecomunicaciones e Información del Departamento de Comercio (NTIA), entre otras agencias, con el fin de monitorear el tráfico interno de correos electrónicos. 

Según las agencias de inteligencia, esta campaña tiene fines de ciberespionaje y son realizados por hackers APT rusos. Así como, el medio de comunicación Washington Post publicó un artículo atribuyendo los ataques al APT29, también conocido como Cozy Bear, mismo grupo sospechoso de estar detrás del incidente de FireEye la semana pasada, destacando la posibilidad que los atacantes lograron robar las herramientas de Pentesting del red team de la compañía.

Aún no se sabe con exactitud cómo fueron vulneradas estas agencias y compañías, pero todo parece señalar que fue mediante un ataque por vulneración de la cadena de suministro al modificar el software utilizado para gestionar sistemas, redes e infraestructura TI, SolarWinds, software utilizado tanto por las agencias como por FireEye. 

Para la agencia de Ciberseguridad y seguridad de Infraestructura (CISA), es un riesgo crítico para la seguridad de las redes federales. donde ha lanzado un comunicado de emergencia, donde llama a todas las agencias federales civiles a revisar sus redes en busca de indicadores de compromisos, así como desconectar los productos de SolarWinds de forma inmediata.

Cabe destacar que los productos de SolarWinds son utilizados por más de 300.000 clientes alrededor del mundo, incluyendo compañías financieras, gubernamentales, agencias federales e instituciones educativas, incluso compañías de telecomunicaciones, así como organizaciones de gran importancia para los Estados Unidos, como los cinco componentes de su Fuerza Militar, el Pentágono, el Departamento de Estado, NASA, Departamento de justicia, entre otros.

Según el seguimiento de la campaña realizado por FireEye la cual llamaron como “UNC2452”, el ataque a la cadena de suministro fue para troyanizar las actualizaciones del software SolarWinds con el fin de distribuir una backdoor llamada SUNBURST. Según los expertos, esta campaña pudo haber empezado a inicio de Marzo del 2020 y aún está en curso.

Microsoft también destaca en su análisis a esta campaña, llamada “Solorigate”, que la campaña logró su cometido, al estar relacionada con un software de confianza como SolarWinds, comentando que “Una clase de software malicioso fue incluido entre muchas otras clases legítimas y estas fueron firmadas con un certificado legítimo”. El binario resultante incluyó un backdoor y este fue discretamente distribuido a organizaciones objetivo”.

Por parte de SolarWinds, han publicado un aviso de seguridad donde explica que los ataques sucedieron entre las versiones 2019.4 y 2020.2.1 de SolarWinds Orion Platform, lanzadas entre marzo y junio del 2020. Así como también recomendaron a los usuarios actualizar su plataforma Orion a la versión 2020.2.1 HF 1. Se espera que la compañía lance un parche de seguridad para el 15 de Diciembre, con la finalidad de reemplazar los componentes comprometidos y proporcionar varias mejoras de seguridad.

Desde Arkavia Networks le recomendamos, al igual que el artículo anterior, Ciberdelincuentes han robado herramientas de Pentesting del red team de FireEye, aplicar de forma preventiva en sus plataformas internas las contramedidas publicadas por FireEye y anexadas al final. Entre ellas se encuentran las contramedidas contra la backdoor “SUNBURST” y las herramientas de Pentesting robadas al red team de FireEye.


Fuente:

https://thehackernews.com/2020/12/us-agencies-and-fireeye-were-hacked.html


Contramedidas:

https://github.com/fireeye/sunburst_countermeasures


COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,Check Point,4,Chile,1,Chips,1,Chrome,3,Ciberataque,6,Cibercrimen,155,Cibercriminales,3,Ciberdelincuencia,16,ciberseguridad,176,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,2,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,Hacking,84,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,19,Redes,30,redes sociales,12,Redhat,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,23,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,80,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Múltiples agencias importantes Estadounidenses fueron hackeadas usando SolarWinds
Múltiples agencias importantes Estadounidenses fueron hackeadas usando SolarWinds
https://1.bp.blogspot.com/-t16Z3GSfJ2Y/X9eqGBX6YPI/AAAAAAAACWk/EI0Jk_Rxm1s1bSKd6zLvZGkrtREVR2FFgCLcBGAsYHQ/w640-h320/Solarwinds%2Bsupply%2Bchain%2Battack.jpg
https://1.bp.blogspot.com/-t16Z3GSfJ2Y/X9eqGBX6YPI/AAAAAAAACWk/EI0Jk_Rxm1s1bSKd6zLvZGkrtREVR2FFgCLcBGAsYHQ/s72-w640-c-h320/Solarwinds%2Bsupply%2Bchain%2Battack.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/12/multiples-agencias-importantes.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/12/multiples-agencias-importantes.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy