El ciberataque sufrido por SolarWinds sigue generando indeseables consecuencias para organizaciones públicas y privadas de todo el mundo, ejemplo de ello es el más reciente anuncio de los equipos de seguridad de Microsoft.
La compañía reveló que su investigación interna sobre este incidente ha concluido, por lo que ahora pueden confirmar que no existe evidencia de que los hackers abusaran de sus sistemas internos o productos oficiales para lanzar ataques de cadena de suministro, aunque reconocen que los cibercriminales podrían haber robado información confidencial, incluyendo el código fuente de aplicaciones como Azure, Exchange e Inturn.
Acorde al reporte de seguridad, los actores de amenazas accedieron a los siguientes recursos:
- Un reducido subconjunto de componentes de Azure
- Un subconjunto de componentes de Intune
- Un subconjunto de componentes de Exchange
Este incidente no parece haber dañado los productos de Microsoft; los expertos también descartan que este escenario haya permitido a los actores de amenazas encontrar un pivote de entrada adicional a las redes afectadas.
El informe de Microsoft menciona que los atacantes explotaron su acceso a través de SolarWinds Orion para acceder a sus redes internas, desde donde lograron descargar estas piezas de código: “Nuestra investigación muestra que la primera visualización de un archivo potencialmente malicioso ocurrió a finales de noviembre, conducta que fue corregida al asegurar las cuentas afectadas”.
Aunque Microsoft cortó el acceso ilegítimo en una etapa temprana, los hackers trataron de acceder a algunas cuentas desde diciembre de 2020 hasta las primeras semanas de enero de 2021, cuando ya había pasado un tiempo considerable desde la revelación del ataque a la cadena de suministro de SolarWinds, por lo que Microsoft se comprometió a iniciar una investigación exhaustiva.
“Es importante destacar que en ningún caso los atacantes accedieron al repositorio completo de un producto o servicio, por lo que la mayor parte del código fuente está completamente a salvo”, menciona Microsoft. Más adelante la compañía agregó que los hackers maliciosos obtuvieron solo unos pocos archivos individuales.
Por otra parte, a partir de las consultas realizadas en estos repositorios, Microsoft concluyó que los actores de amenazas estaban en busca de información altamente sensible como tokens de acceso para expandir la intrusión a otros sectores de la red objetivo. Estas búsquedas no fueron de ayuda debido a las prácticas de seguridad de Microsoft, que contemplan escenarios como este y prohíben el almacenamiento de información confidencial en estos repositorios.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.