Microsoft atribuye el ataque a Solarwinds a un grupo chino llamado DEV-0322
El 9 de julio Solarwinds, desarrolladora de software para administración de redes, sistemas e infraestructura tecnológicas para empresas, informó de un nuevo ciberataque. En él, un grupo aún sin identificar en ese momento aprovechó un exploit day zero en el software FTP Serv-U de SolarWinds para acceder a datos de clientes. Pero no clientes cualesquiera, sino a pertenecientes a la industria de defensa de los EE.UU. El ataque, el cual fue detectado mediante un análisis rutinario de Microsoft 365 Defender, tenía como objetivo convertir a los atacantes en administradores de Serv-U. Así, hubieran tenido control total sobre el software y hacer y deshacer a su antojo. Una vez conocido el fallo, la compañía parcheó el software para así atajar el problema lo antes posible. Ahora bien, ¿Quién ha estado detrás de todo esto? El ataque a SolarWinds atribuido a un grupo chino.
Microsoft (inmersa también en algunos problemas de seguridad) podría haber dado con los culpables a través de su Threat Intelligence Center (MSTIC). Según el gigante de Redmond, el ciberataque podría haber sido ejecutado por un grupo de piratas informáticos llamado «DEV-0322«. Este grupo se ha hecho muy famoso por hacer uso de soluciones VPN y comprometer los routers de los consumidores en los ataques a infraestructuras. No es la primera vez que Solarwinds recibe un ciberataque que compromete sus servicios. A finales de 2020, diciembre para ser exactos, fue víctima de un ataque informático que expuso a cientos de agencias gubernamentales y empresas. En aquel caso, el ataque fue atribuido al conocido grupo ruso Cozy Bear. En este nuevo caso, el grupo «DEV-0322» es originario de China. El ataque a SolarWinds atribuido a un grupo chino.
Se recomienda actualizar SERV-U lo antes posible
Si bien Solarwinds ya está poniendo solución al problema, desde Microsoft van un paso más allá. Al parecer, las versiones de software de la compañía anterior al 5 de mayo contenían la mencionada vulnerabilidad. El gigante de Redmond ha comentado que si el protocolo Secure Shell (SSH) de Serv-U se conectaba a Internet, los piratas informáticos podrían «ejecutar de forma remota código arbitrario con privilegios. Esto les permitiría realizar acciones como instalar y ejecutar malware, o ver y cambiar datos. Por ello, se recomienda que aquellos que posean una versión antigua actualicen lo antes posible.