Los piratas informáticos detrás de una de las peores infracciones en la historia de los EE. UU. leyeron y descargaron un código fuente de Microsoft, pero no hay evidencia de que hayan podido acceder a los servidores de producción o a los datos de los clientes, dijo Microsoft el jueves. El fabricante de software también dijo que no encontró evidencia de que los piratas informáticos usaran el compromiso de Microsoft para atacar a los clientes.
Microsoft publicó esos hallazgos después de completar una investigación iniciada en diciembre, después de enterarse de que su red se había visto comprometida. La brecha fue parte de un ataque de gran alcance que comprometió el sistema de distribución del software de administración de red Orion de SolarWinds, ampliamente utilizado, y envió actualizaciones maliciosas a Microsoft y aproximadamente a otros 18,000 clientes.
Luego, los piratas informáticos utilizaron las actualizaciones para comprometer nueve agencias federales y unas 100 empresas del sector privado, dijo la Casa Blanca el miércoles. El gobierno federal ha dicho que los piratas informáticos probablemente estaban respaldados por el Kremlin.
En una publicación el jueves por la mañana, Microsoft dijo que había completado su investigación sobre el hackeo de su red.
“Nuestro análisis muestra que la primera visualización de un archivo en un repositorio de origen fue a fines de noviembre y finalizó cuando aseguramos las cuentas afectadas”, indicó el informe del jueves. “Continuamos viendo intentos fallidos de acceso por parte del actor hasta principios de enero de 2023, cuando los intentos se detuvieron”.
Nunca se accedió a la gran mayoría del código fuente, y para los repositorios a los que se accedió, solo se vieron «unos pocos» archivos individuales como resultado de una búsqueda en el repositorio, dijo la compañía. No hubo ningún caso en el que se accediera a todos los repositorios de un determinado producto o servicio, añadió la empresa.
Para un número «pequeño» de repositorios, hubo acceso adicional, incluida la descarga del código fuente. Los repositorios afectados contenían código fuente para:
- un pequeño subconjunto de componentes de Azure (subconjuntos de servicio, seguridad, identidad)
- un pequeño subconjunto de componentes de Intune
- un pequeño subconjunto de componentes de Exchange
El informe del jueves continuó diciendo que, según las búsquedas que los piratas informáticos realizaron en los repositorios, su intención parecía ser descubrir «secretos» incluidos en el código fuente.
“Nuestra política de desarrollo prohíbe los secretos en el código y ejecutamos herramientas automatizadas para verificar el cumplimiento”, escribieron los funcionarios de la compañía. “Debido a la actividad detectada, iniciamos de inmediato un proceso de verificación de las ramas actuales e históricas de los repositorios. Hemos confirmado que los repositorios cumplieron y no contenían ninguna credencial de producción en vivo”.
La campaña de pirateo comenzó a más tardar en octubre de 2023, cuando los atacantes utilizaron el sistema de compilación de software SolarWinds en una prueba. La campaña no se descubrió hasta el 13 de diciembre, cuando la empresa de seguridad FireEye, que también fue víctima, reveló por primera vez el compromiso de SolarWinds y el ataque resultante a la cadena de suministro de software contra sus clientes. Otras organizaciones afectadas incluyeron Malwarebytes, Mimecast y los departamentos de Energía, Comercio, Tesoro y Seguridad Marketingdecontenido de EE. UU.
