Microsoft está ofreciendo la herramienta que utilizó para investigar la brecha, en un esfuerzo por ayudar a otras organizaciones a mitigar el riesgo de la campaña de ciberespionaje en cascada resultante de una vulnerabilidad en el contratista federal estadounidense SolarWinds. Microsoft pretende ayudar a las empresas a identificar los indicadores de compromiso a nivel de código (IoC), según ha declarado el equipo de seguridad de Microsoft en su blog.
Al indagar en su propio código, las organizaciones pueden evaluar si se han visto comprometidas por el ataque, en el que presuntos hackers rusos introdujeron software malicioso en la actualización de un producto de SolarWinds, dijo Microsoft. La compañía ha descrito la campaña como “Solorigate”.
“Un aspecto clave del ataque Solorigate es el compromiso de la cadena de suministro que permitió al atacante modificar el código binario del producto Orion de SolarWinds”, señala el blog. “Estos binarios modificados se distribuyeron a través de canales de actualización previamente legítimos y permitieron al atacante realizar remotamente actividades maliciosas, como el robo de credenciales, la escalada de privilegios y el movimiento lateral, para robar información sensible”. El incidente ha recordado a las organizaciones que deben reflexionar no sólo sobre su preparación para responder a ataques sofisticados, sino también sobre la resistencia de sus propias bases de código.”
El equipo de seguridad de Microsoft también ha detallado en el blog dos enfoques diferentes para analizar los IoC a nivel de código relacionados con la brecha de SolarWinds utilizando CodeQL, una herramienta para desarrolladores que puede utilizarse para automatizar el análisis de seguridad.
La publicación de las consultas CodeQL es el último indicio de que el esfuerzo del sector privado seguirá siendo una parte crucial del esfuerzo de reparación y recuperación de la nación tras la brecha de SolarWinds. Nueve agencias federales y unas 100 empresas se han visto afectadas, según informó previamente la Casa Blanca.
Desde entonces, varias empresas de seguridad han publicado herramientas para ayudar a las organizaciones potencialmente afectadas a evaluar los daños. FireEye, la empresa de seguridad que descubrió inicialmente la brecha, fue la primera en desarrollar y publicar contramedidas que podrían ser utilizadas por otras organizaciones para tratar de frustrar cualquier consecuencia potencial de la brecha de SolarWinds. En diciembre, Microsoft, FireEye y el registrador de dominios GoDaddy lanzaron un “killswitch” para dificultar que los piratas informáticos continuaran con su campaña.
La investigación de la presunta operación de espionaje, que según la comunidad de inteligencia estadounidense fue “probablemente” llevada a cabo por actores rusos, llevará algún tiempo -posiblemente varios meses-, advirtió Anne Neuberger, asesora adjunta de seguridad nacional de la administración Biden para tecnologías cibernéticas y emergentes en el NSC, en una rueda de prensa en la Casa Blanca a principios de este mes.
