Un grupo de Hackers se encuentra realizando un ataque a la cadena de suministro al software SolarWinds Orion, consiguiendo implantar una actualización con malware SUNBURST.
FireEye ha detectado esta actividad en múltiples entidades en todo el mundo. Las víctimas han incluido entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente. Anticipamos que habrá víctimas adicionales en otros países y verticales. FireEye ha notificado a todas las entidades que sabemos que se han visto afectadas.
Varias actualizaciones con malware se firmaron digitalmente entre marzo a mayo 2020 y se publicaron en el sitio web de SolarWinds. Una vez descargada la actualización el malware disfraza su tráfico de red como mejoras de Orion y se almacena en los archivos de configuración de los complementos legítimos, integrándose con el software SolarWinds. Después de un periodo el malware intenta resolver subdominios de avsvmcloud[.]com y comunicarse a servidores comando y control.
El aviso de seguridad entregado por SolarWinds informa que experimentaron un ataque manual altamente sofisticado a la cadena de suministro en las compilaciones del software SolarWinds® Orion® Platform para las versiones 2019.4 HF 5 y 2020.2 sin revisión o 2020.2 HF 1, lanzadas entre marzo de 2020 y mayo 2020.
Ver el informe completo de FireEye.
