SolarWinds: obra de más de 1.000 programadores

SolarWinds es un nombre que, por los restos, quedará muy presente en la historia de la ciberseguridad, y debería marcar un antes y un después en lo referido a las medidas de seguridad que se toman alrededor de la cadena de suministros. Y es que de nada sirve protegernos de todos los agentes externos, si no sometemos a controles incluso más estricto aquellos elementos que nos vienen dados por proveedores cuyas herramientas empleamos de manera habitual.

A medida que fuimos conociendo detalles sobre este enorme problema de seguridad, fue quedando claro que se trataba de un una acción a lo grande, que los responsables de la autoría intelectual de la misma no habían escatimado en medios ni en detalles, y que son muchas las cosas que se le pueden reprochar a los autores, claro, pero que la falta de profesionalidad no se encuentra entre ellas. Y según podemos leer en The Register, parece que fueron muchas las manos involucradas en el ataque a SolarWinds y, en consecuencia, a sus clientes.

Más concretamente, y según Brad Smith, presidente y director legal de Microsoft, el análisis del código empleado por los atacantes muestras señales de que fue el trabajo de un mínimo de 1.000 desarrolladores. Esta afirmación se produjo en el popular programa de televisión 60 Minutos, de la CBS, en una muestra más de que la política de los de Redmond en lo referido a SolarWinds está siendo tremendamente transparente. Y que sea precisamente Microsoft, que tiene décadas de experiencia en desarrollos de gran tamaño, da bastante fiabilidad a esta estimación.

Dado que esta afirmación resulta verosímil, tenemos otra razón más para sospechar de la presencia de algún estado tras el ataque, y es que es cierto que las organizaciones cibercriminales cuentan con grandes recursos gracias a los beneficios millonarios de sus acciones, pero ni siquiera teniendo esto en cuenta parece probable que puedan contar con tantos recursos como para efectuar un ataque de estas dimensiones. Así, gana más tracción (todavía) la teoría que apunta a que Rusia se encuentra tras del hackeo de SolarWinds.

En el mismo espacio televisivo participó también Kevin Mandia, CEO de FireEye, que también fue víctima del hackeo de SolarWinds, y reveló qué hizo que su empresa fuera consciente de que estaba bajo el fuego enemigo. Según revela Mandia, una revisión de los dispositivos empleados por los trabajadores para la autenticación de doble factor (2FA) mostró que uno de ellos tenía registrados dos dispositivos. Puesto en contacto con dicho empleado, el responsable de seguridad le preguntó si él había dado de alta el segundo dispositivo, lo que el primero negó.

Así, sabemos que de alguna manera los atacantes tras el hackeo de SolarWinds obtuvieron las credenciales de ese empleado y, de algún modo que no se ha revelado, lograron introducir en el sistema de autenticación un segundo número de teléfono para la misma, en el que recibir los códigos únicos necesarios, junto a las credenciales, para iniciar sesión. Desconocemos el nivel de acceso que tenía ese trabajador, pero una vez dentro ya solo quedaba empezar a escalar privilegios, algo en lo que los ciberdelincuentes son expertos.