Se cree que el grupo de hackers con base en Rusia APT29, también conocido como Cozy Bear, se ha infiltrado en varias agencias estadounidenses, incluyendo el Departamento de Estado, el Departamento de Justicia y el Pentágono, así como la NASA y miles de empresas en todo el mundo. Según los informes de los medios de comunicación, se utilizó el mismo vector de ataque que se usó recientemente para hackear el La compañía de seguridad Fireeye hackeó fue. Al canal de noticias CNN las autoridades han confirmado desde entonces el ataque.
El servidor de actualización distribuye malware
Según un informe de Fireeye el malware utilizado para el ataque fue distribuido a través de Servidor en la nube del software de monitorización y gestión de TI Orion de Solarwinds. Los hackers integraron el malware en una actualización del software, que luego fue instalada por las empresas y autoridades comprometidas.
Varias actualizaciones afectadas
Según Fireeye, el ataque comenzó ya en la primavera de 2020, con múltiples firmados y trojanizados Actualizaciones y se distribuye a través de los servidores de Solarwinds.
Mientras tanto, Fireeye ha estado en GitHub Las firmas para el malware llamado Sunburst han sido liberadas, permitiendo a Snort, Yara, IOC y ClamAV limpiar los sistemas infectados.
En un StelOpinión Solarwinds también ha confirmado la propagación del malware de Sunburst a través de sus servidores de actualización. La compañía recomienda a todos los clientes que actualicen su plataforma Orion lo antes posible. De acuerdo con su propia Detalles Solarwinds tiene más de 300.000 clientes en todo el mundo. Por lo tanto, las posibles víctimas del pirateo no sólo incluyen a las autoridades de EE.UU., sino también a empresas como Siemens, AT&T, Cisco, Mastercard y Microsoft.
Frente a la Washington Post John Scott-Railton declaró que los daños del ataque probablemente serán enormes. En el pasado, APT29 ha sido uno de los grupos de hackers más agresivos.