Cronología del ciberataque a SolarWinds
Impacto, detección, respuesta y consecuencias actuales del ataque al software de gestión remota de TI Orion de SolarWinds.
Los detalles del ataque a SolarWinds en 2020 continúan saliendo a la luz, y puede que pasen años antes de que se puedan contabilizar los daños finales. Aunque es "difícil decir" si el ataque a la cadena de suministro de software de SolarWinds llegará a ser conocido como la intrusión cibernética de mayor impacto de la historia ya que sorprendió a "mucha gente con la guardia baja" a pesar de las frecuentes advertencias de la industria de la seguridad de que las cadenas de suministro suponen riesgos sustanciales, según Eric Parizo, analista principal de operaciones de seguridad en Omdia.
El ataque de SolarWinds no tiene precedentes por "su capacidad de causar daños importantes", afirma el profesor de gestión de la Universidad de Richmond Shital Thekdi, experto en gestión de riesgos e ingeniería industrial y de operaciones. El ataque "impactó en los proveedores de infraestructuras críticas, afectando potencialmente a las capacidades energéticas y de fabricación", dijo, y creó una intrusión continua que "debe ser tratada como un evento serio con potencial de gran daño".
Cronología del hackeo de SolarWinds
A continuación se presenta una línea de tiempo de cómo se han desarrollado los eventos relacionados con el hack de SolarWinds, hasta la fecha.
8 de diciembre de 2020. Cómo empezó el descubrimiento. FireEye, una destacada empresa de ciberseguridad, anunció que había sido víctima de un ataque de un estado. El equipo de seguridad informó que su kit de herramientas Red Team, que contiene aplicaciones utilizadas por los hackers éticos en las pruebas de penetración, fue robado.
13 de diciembre de 2020. Detección inicial. FireEye descubrió un ataque a la cadena de suministro mientras investigaba el ataque de un estado-nación a su propio kit de herramientas Red Team. Los investigadores se toparon con pruebas de que los atacantes introdujeron una puerta trasera en el software de SolarWinds "troyanizando las actualizaciones del software empresarial SolarWinds Orion para distribuir malware." FireEye lo bautizó como "SUNBURST".
13 de diciembre. SolarWinds comienza a notificar a los clientes, incluyendo una publicación en su cuenta de Twitter, "SolarWinds pide a todos los clientes que actualicen inmediatamente a la versión 2020.2.1 HF 1 de Orion Platform para solucionar una vulnerabilidad de seguridad."
14 de diciembre. SolarWinds presenta un informe en el formulario 8-K de la SEC, en el que afirma en parte que la empresa "ha sido informada de un ciberataque que insertó una vulnerabilidad dentro de sus productos de monitorización Orion". En esta fecha y en la siguiente, la empresa emitió dos parches de seguridad "hotfix" para solucionar la vulnerabilidad.
15 de diciembre de 2020. Se nombran las víctimas y se retrasa el calendario: el Wall Street Journal informó de que los Departamentos de Comercio y del Tesoro de Estados Unidos, el Departamento de Seguridad Nacional (DHS), los Institutos Nacionales de Salud y el Departamento de Estado se vieron afectados. Diversos funcionarios de seguridad y proveedores expresaron su gran preocupación por el hecho de que el ataque fuera más generalizado y comenzara mucho antes de lo previsto. La fecha inicial del ataque se fijó ahora en algún momento de marzo de 2020, lo que significaba que el ataque había estado en marcha durante meses antes de su detección.
También empezaron a surgir más detalles técnicos, ilustrando lo bien que se cubrió la actividad maliciosa y por qué fue difícil de detectar.
Lea el reportaje completo en la revista digital 'CSO'
