Microsoft reveló el martes 13 de julio que la última serie de ataques dirigidos al servicio de transferencia de archivos gestionados SolarWinds Serv-U con un exploit de ejecución remota de código (RCE) ya parcheado es obra de un actor de amenazas chino apodado “DEV-0322”.
La revelación se produce días después de que el fabricante de software de monitorización de TI con sede en Texas publicara parches para el fallo que podría permitir a los adversarios ejecutar remotamente código aleatorio con privilegios, lo que les permitiría realizar acciones como instalar y ejecutar cargas útiles maliciosas o ver y alterar datos sensibles.
El fallo RCE, identificado como CVE-2021-35211, reside en la implementación del protocolo Secure Shell (SSH) de Serv-U. Aunque ya se había revelado que los ataques tenían un alcance limitado, SolarWinds dijo que “desconoce la identidad de los clientes potencialmente afectados.”
Atribuyendo las intrusiones con un alto grado de certeza a DEV-0322 (abreviatura de “Grupo de Desarrollo 0322”) sobre la base de la victimología, las tácticas y los procedimientos observados, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) dijo que el adversario es conocido por dirigirse a entidades del sector de la base industrial de defensa de Estados Unidos y a empresas de software.
“Este grupo de actividad tiene su sede en China y se ha observado que utiliza soluciones de VPN comerciales y routers de consumo comprometidos en su infraestructura de ataque”, según MSTIC, que descubrió el día cero después de detectar hasta seis procesos maliciosos anómalos que se generaban desde el proceso principal de Serv-U, lo que sugería un compromiso.
Esta es la segunda vez que un grupo de hackers con sede en China explota las vulnerabilidades del software de SolarWinds como campo fértil para ataques dirigidos contra redes corporativas.
Ya en diciembre de 2020, Microsoft reveló que otro grupo de espionaje podría haber estado aprovechando el software Orion del proveedor de infraestructuras informáticas para lanzar una puerta trasera persistente llamada Supernova en los sistemas infectados. Las intrusiones se han atribuido desde entonces a un actor de amenazas vinculado a China llamado Spiral.