Microsoft reveló el jueves que los actores de amenazas detrás del ataque a la cadena de suministro de SolarWinds pudieron obtener acceso a una pequeña cantidad de cuentas internas y escalar el acceso dentro de su red interna.
El «actor de estado-nación muy sofisticado» utilizó el acceso no autorizado para ver, pero no modificar, el código fuente presente en sus repositorios, dijo la compañía.
«Detectamos actividad inusual con una pequeña cantidad de cuentas internas y, tras la revisión, descubrimos que una cuenta se había utilizado para ver el código fuente en varios repositorios de código fuente», reveló el fabricante de Windows en una actualización.
«La cuenta no tenía permisos para modificar ningún código o sistema de ingeniería y nuestra investigación confirmó además que no se realizaron cambios. Estas cuentas fueron investigadas y remediadas».
El desarrollo es el último de la saga de espionaje de gran alcance que salió a la luz a principios de diciembre tras las revelaciones de la firma de ciberseguridad FireEye de que los atacantes habían comprometido sus sistemas a través de una actualización de SolarWinds troyanizada para robar sus herramientas de prueba de penetración Red Team.
Durante el curso de la investigación sobre el ataque, Microsoft había admitido previamente haber detectado binarios de SolarWinds maliciosos en su propio entorno, pero negó que sus sistemas se usaran para atacar a otros o que los atacantes tuvieran acceso a servicios de producción o datos de clientes.
Varias otras empresas, incluidas Cisco, VMware, Intel, NVIDIA y varias otras agencias gubernamentales de EE. UU., Han descubierto desde entonces marcadores del malware Sunburst (o Solorigate) en sus redes, plantados a través de actualizaciones de Orion contaminadas.
La compañía con sede en Redmond dijo que su investigación aún está en curso, pero restó importancia al incidente y agregó que «ver el código fuente no está vinculado a la elevación del riesgo» y que había encontrado evidencia de intentos de actividades que fueron neutralizados por sus protecciones.
En un análisis separado publicado por Microsoft el 28 de diciembre, la compañía calificó el ataque como un «compromiso entre dominios» que permitió al adversario introducir código malicioso en los archivos binarios firmados de SolarWinds Orion Platform y aprovechar este punto de apoyo generalizado para continuar operando sin ser detectado y acceder a los recursos en la nube, que culminan con la exfiltración de datos confidenciales.
Sin embargo, el software Orion de SolarWinds no fue el único vector de infección inicial, ya que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) dijo que los atacantes también utilizaron otros métodos, que aún no se han divulgado públicamente.
La agencia también publicó una guía complementaria instando a todas las agencias federales de EE. UU. Que aún ejecutan el software SolarWinds Orion a actualizar a la última versión 2020.2.1 HF2 .
«La Agencia de Seguridad Nacional (NSA) examinó esta versión y verificó que elimina el código malicioso previamente identificado», dijo la agencia.
