Los investigadores de la firma de ciberseguridad Prodaft, con sede en Suiza, anunciaron recientemente la identificación de una campaña de hacking masiva presuntamente vinculada al incidente de SolarWinds. En su informe, los expertos aseguran que en agosto pasado un grupo de hacking identificado como Silverfish comenzó una campaña masiva de robo de datos confidenciales en organizaciones públicas y privadas de todo el mundo.
Este grupo de expertos asegura que pudo infiltrarse en los servidores C&C de los hackers, descubriendo que Silverfish comprometió exitosamente a cerca de 4 mil 700 víctimas en los más recientes meses. El reporte de Prodaft señala múltiples vínculos entre esta campaña y el ataque a la cadena de suministro de SolarWinds.
Como recordará, estos ataques lograron comprometer a muchas de las más importantes compañías a nivel mundial, incluyendo contratistas de defensa, compañías automotrices y firmas de servicios de TI, sin mencionar las múltiples organizaciones gubernamentales afectadas en E.U. y algunos países de Europa.
La investigación de Prodaft comenzó en diciembre de 2020, cuando uno de sus clientes solicitó un análisis completo de sus sistemas, afectados por la actualización maliciosa de SolarWinds Orion. Basándose en una serie de indicadores de compromiso, los investigadores crearon una huella digital de los ataques de SolarWinds, ejecutando procesos de escaneo IPv4 para identificar otros incidentes con características similares.
Poco después los expertos descubrieron al menos una decena de servidores C&C empleados por los hackers para dar seguimiento a los sistemas afectados y enviar comandos arbitrarios. Los investigadores mencionan que lograron acceder a al menos dos servidores gracias a la explotación de algunas fallas sin corregir.
Análisis posteriores arrojaron evidencia que podría indicar que este grupo ha estado activo desde agosto de 2020. En estos servidores los expertos también encontraron enlaces a víctimas conocidas del ataque a SolarWinds, a través de indicadores como direcciones IP, nombres de usuario y ejecución de comandos: “Este grupo de hackers tenía cuatro equipos vinculados al compromiso de sistemas gubernamentales y grandes corporaciones”, menciona el reporte.
En este informe también se confirma el hallazgo de evidencia que sugiere que los servidores C&C de este grupo de hacking operaban desde Rusia y Ucrania. Además, algunos de estos servidores se compartieron con un grupo de hacking ruso conocido como Evil Corp.
La hipótesis de los actores de amenazas rusos comenzó en enero de 2021, cuando los expertos de la firma de seguridad Kaspersky revelaron el hallazgo de información que vinculaba este ataque con las herramientas de hacking empleadas por el grupo cibercriminal Turla, respaldado por el gobierno de Rusia. Este informe menciona que Sunburst, el malware empleado por los hackers de SolarWinds, fue empleado en conjunto con el backdoor Kazuar, utilizado principalmente por Turla para la infección de sistemas gubernamentales de todo el mundo.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.