"Sunburst" puede traducirse como "explosión de sol". Cuando el ataque del hacker del mismo nombre golpeó el universo de Solarwinds, tuvo consecuencias masivas. La empresa quiere ahora armarse contra una adversidad similar.
Brandon Shopp, vicepresidente de productos de SolarWinds, recuerda bien el 12 de diciembre de 2020. Ese día, su empleador fue contactado por la empresa de seguridad de redes FireEye en relación con un código malicioso descubierto en la plataforma SolarWinds Orion. La plataforma se utiliza para supervisar, analizar y gestionar de forma centralizada los entornos informáticos.
"Nuestra investigación reveló que los hackers pudieron acceder a nuestro entorno de desarrollo de software utilizando técnicas sofisticadas para no ser detectados." Los hackers habían apuntado previamente al malware Sunburst insertándolo durante el proceso de desarrollo de la plataforma.
¿Gobierno extranjero involucrado?
El trasfondo aún no se entiende del todo, pero como elabora Shopp, los expertos en ciberseguridad habían expresado la creencia de que un gobierno extranjero estaba detrás. Junto con los investigadores forenses, Solarwinds está siguiendo varias teorías sobre cómo los atacantes pudieron acceder al entorno. "En este momento, creemos que el vector de ataque más probable fue el compromiso de las credenciales y el acceso a través de una aplicación de terceros, a través de una vulnerabilidad que no se conocía en ese momento."
Las investigaciones continúan
Las investigaciones continúan. Dada la complejidad de los ataques y las medidas adoptadas por los autores para manipular el entorno de SolarWinds y eliminar las pruebas de sus actividades, junto con la gran cantidad de datos de registro y de otro tipo que hay que analizar, las investigaciones continuarán durante al menos varias semanas más, quizá meses, afirma la empresa. Puede que no lleven a una respuesta definitiva, reconoce Shopp. "Todavía no hemos determinado la fecha exacta en la que los actores de la amenaza obtuvieron el primer acceso no autorizado a nuestros entornos"."
Medidas de seguridad
En 48 horas tras conocer el ataque, se desplegaron las actualizaciones del software afectado. Mientras tanto, se contrataron expertos externos en ciberseguridad para asegurar el entorno interno a largo plazo. Se ha desplegado software adicional de protección y detección de amenazas.
Además, se están verificando las versiones compiladas para que coincidan con el código fuente, y todos los productos de SolarWinds han sido firmados con nuevos certificados digitales, subrayó Shopp.
"Creemos que la colaboración con los expertos en ciberseguridad, con el gobierno y con el público es fundamental no sólo para responder al ataque Sunburst, sino también para proteger nuestra industria e infraestructura nacional de ataques similares en el futuro", dijo. "Estamos compartiendo nuestras conclusiones no sólo con el sector, sino también con las fuerzas del orden, los organismos de inteligencia y los responsables políticos de todo el mundo".
Responsabilidad corporativa
El equipo de SolarWinds también está trabajando con KPMG y CrowdStrike para entender mejor este novedoso ataque. "Hicimos ingeniería inversa del código responsable y pudimos averiguar más sobre la herramienta utilizada en el entorno de construcción. Esperamos que al exponer los detalles técnicos al resto del sector, otras empresas puedan utilizarlos para identificar y prevenir ataques similares", asegura Shopp.