Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
diciembre
(Total:
46
)
- Lo más buscado en Google España en 2020
- Robo de datos de clientes de T-Mobile: expuestos n...
- Secuestro de Google Docs usando función capturar p...
- Kawasaki informa de un "acceso no autorizado" y un...
- Roban 615.000 credenciales de inicio de sesión med...
- Piratas informáticos rusos accedieron a las cuenta...
- Electrodomésticos Whirlpool afectado por un ataque...
- Encuentran una cuenta de usuario indocumentada en ...
- Cifrar un pendrive USB (proteger pendrive o disco ...
- Detectada una nueva campaña de phishing para Andro...
- El Papa Francisco da por segunda vez un "me gusta"...
- Configuración de una VPN con OpenVPN
- Norcoreanos intentan robar la investigación de la ...
- Encuentran nuevos fallos en el 5G que permiten geo...
- Utilizan la misma dirección IP para subir película...
- Zoom está siendo investigada por su seguridad, pri...
- Qubes OS, uno de los sistemas operativos más segur...
- Microsoft, Google, Cisco y otros presentan un escr...
- Los iPhones de 36 periodistas fueron espiados util...
- Ciberdelincuentes atacan cadenas de suministros de...
- Ransomware DoppelPaymer acosa a las víctimas que s...
- Ministros de la UE exigen cifrado en comunicacione...
- Filtran datos de ordenadores a través de la RAM co...
- Rusia estaría detrás del ataque (Orion de SolarWin...
- Hackean Sistema de marketing de Subway UK
- 115 mil alumnos sin clase por un ciberataque de ra...
- Exingeniero de Cisco condenado a prisión por elimi...
- Funciones avanzadas y opciones de seguridad en Wha...
- AIO 2021 - Compilación herramientas análisis y des...
- La Agencia Europea del Medicamento anuncia que ha ...
- Empresa de ciberseguridad FireEye sufre un hackeo ...
- Amnesia: 33 errores del protocolo TCP/IP
- Ejecución remota de código (RCE) en Microsoft Teams
- Kaspersky publica TinyCheck, herramienta capturar ...
- Arreglada vulnerabilidad crítica (RCE) en PlayStat...
- HDMI vs DisplayPort vs ThunderBolt
- Vulnerabilidad en librería Google Play Core expone...
- Actualizaciones de seguridad para VMWare (Windows-...
- Filtración de 243 millones de registros médicos en...
- Qualcomm anuncia el procesador Snapdragon 888
- Ataque del ransomware Conti a la empresa Advantech...
- Publican detalles exploit WiFi 'Wormable', que sin...
- Estafan, suplantando el e-mail del jefe, más de 9 ...
- Investigadores encuentran evidencia de espionaje t...
- Arrestan 3 estafadores nigerianos por atacar a mil...
- Raspberry Pi 4 Model B+ - Qué modelo comprar - Asu...
- ► septiembre (Total: 21 )
-
▼
diciembre
(Total:
46
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Rusia estaría detrás del ataque (Orion de SolarWinds) de espionaje masivo a agencias gubernamentales de Estados Unidos
El ciberataque a SolarWinds ha resultado ser uno de los más importantes y sofisticados de los últimos años. Según varias fuentes, los atacantes (nombre neutral UNC2452, pero varias fuentes de la comunidad sí atribuyeron la autoría a APT29 (Cozy Bear) estaría respaldado por Rusia, que habría estado desde marzo accediendo y vigilando el tráfico interno de correos electrónicos de, entre otras agencias estadounidenses, los departamentos de Justicia y Tesoro del país. Según Reuters, además, varias fuentes cercanas a la investigación temen que esto pueda ser tan solo la punta del iceberg. De hecho, el hackeo es tan grave que el pasado sábado se convocó en la Casa Blanca una reunión del Consejo de seguridad nacional al respecto. El malware ha sido bautizado por FireEye como Sunburst en su informe, y por Microsoft como Solorigate. Finalmente se descubre que el ataque a FireEye usando software Orion de SolarWinds se extiende a MUCHAS otras empresas y es más grave de lo que incluso ya parecía. Todavía no se conoce el impacto real ni el número de afectados. No se sabe qué información se ha robado y para qué se puede haber utilizado. Cisco, Nvidia, Belkin, VMware o Intel también aparecen en la lista.
En su documento técnico, FireEye no confirmó la atribución de APT29 y le dio al grupo un nombre en clave neutral de UNC2452, aunque varias fuentes en la comunidad de ciberseguridad le dijeron a ZDNet que la atribución de APT29, realizada por el gobierno de los EE.UU., es probablemente correcta, según la evidencia actual.
Los medios de comunicación The Washington Post y Routers afirman que existen muchas agencias gubernamentales afectadas, motivando que se reuniera de urgencia el Consejo de Seguridad Nacional de los Estados Unidos (NSC) en la Casa Blanca.
Un comunicado del Departamento de Comercio confirmando que ha habido una brecha en una de sus agencias, y que han pedido al FBI y a la CISA (Agencia de ciberseguridad y de infraestructura de seguridad) que investiguen lo sucedido.
SolarWinds - Software Orion troyanizado (puerta trasera)
Podrían haberse visto afectadas numerosas agencias gubernamentales de Estados Unidos, Europa, Asia y Medio Oriente. Hasta 18.000 empresas podrían estar "troyanizadas". Muchas más empresas a parte de FireEye podrían estar troyanizadas (puerta trasera llamada SUNBURST ("SolarWinds.Orion.Core.BusinessLayer.dll")) afectadas por el softwware Orion de SolarWinds.
El informe de FireEye se produce después de que Reuters, Washington Post, y Wall Street Journal informaron sobre las intrusiones del domingo en el Departamento del Tesoro de EE.UU. y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE.UU.
The Washington Post citó fuentes que afirman que muchas otras agencias gubernamentales también se vieron afectadas. Reuters informó que el incidente se consideró tan grave que llevó a una rara reunión del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca, un día antes, el sábado. Reuters dice que la explotación de una una vulnerabilidad en Microsoft Office 365 fue la ruta que tomaron los atacantes para irrumpir en la Administración Nacional de Telecomunicaciones e Información, una parte del Departamento de Comercio de Estados Unidos.
Clientes de SolarWinds
SolarWinds dice que tiene más de 320.000 clientes, incluyendo:
- More than 425 of the U.S. Fortune 500
- All ten of the top ten US telecommunications companies
- All five branches of the U.S. military
- All five of the top five U.S. accounting firms
- The Pentagon U.S.
- The State Department U.S.
- The National Security Agency (NSA)
- The Department of Justice U.S.
- The White House U.S.
- El sistema Dominion Voting Systems también usa SolarWinds, de acuerdo a su página web.
Según SolarWinds, "solo" 18.000 clientes se vieron afectados por una versión troyanizada pero esta nueva cadena de ataques a través de Solawinds abre un nuevo y completo panorama de otras posibles víctimas.
Ataque de cadena Suministro
Un ataque a la cadena de suministro se produce cuando el software es creado y publicado por proveedores de confianza. Estas aplicaciones y actualizaciones están firmadas, por lo que se presupone una legitimidad del ejecutable, y son instaladas automáticamente en todos los clientes que se requieran actualización.
Miembros del grupo hacker se habrían colado en los sistemas de las agencias sin ser detectados alterando actualizaciones publicadas por la compañía tecnológica SolarWinds, que da servicio a la rama ejecutiva de clientes gubernamentales, así como a diversos servicios militares y de inteligencia. Este truco, al que habitualmente se conoce como «ataque de cadena de suministro», funciona escondiendo código malicioso en actualizaciones de software legítimas facilitados a los objetivos por terceros.
Agencias gubernamentales de EE. UU afectadas:
- Departamento del Tesoro de Estados Unidos
- La Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE. UU.
- Institutos Nacionales de Salud del Departamento de Salud (NIH)
- La Agencia de Ciberseguridad e Infraestructura (CISA)
- El Departamento de Seguridad Nacional (DHS)
- Departamento de Estado de EE. UU.
- La Administración Nacional de Seguridad Nuclear (NNSA
- El Departamento de Energía de EE. UU. (DOE)
- Tres estados de EE. UU.
- Ciudad de Austin
Lista de infectados con backdoor de SolarWinds / Sunburst
Varios investigadores de seguridad y equipos de investigación han publicado durante el fin de semana listas que van desde 100 a 280 organizaciones que instalaron una versión troyanizada de la plataforma SolarWinds Orion y tenían sus sistemas internos infectados con el malware Sunburst. La lista incluye los nombres de empresas de tecnología, gobiernos locales, universidades, hospitales, bancos y proveedores de telecomunicaciones.
Los nombres más importantes en esta lista incluyen a Cisco, Intel, Cox Communications, Deloitte, Nvidia, Optimizely y Digital Sense. También se cree que MediaTek, una de las empresas de semiconductores más grandes del mundo, se ha visto afectada; aunque los investigadores de seguridad aún no están al 100% en su inclusión en sus listas.
Descifrando los subdominios de Sunburst
Según una investigación publicada la semana pasada, Sunburst enviaría los datos que recopiló de una red infectada a una URL de servidor C&C que era única por víctima.
Esta URL única era un subdominio para avsvmcloud[.]com y contenía cuatro partes, donde la primera era una cadena de aspecto aleatorio. Pero los investigadores de seguridad dijeron que esta cadena no era realmente única, sino que contenía el nombre codificado del dominio de la red local de la víctima.
Gráfico funcionamiento Solorigate
Fuentes:
https://blog.segu-info.com.ar/2020/12/microsoft-y-fireeye-confirman-ataque.html
https://www.muycomputerpro.com/2020/12/14/hacker-rusia-emails-departamentos-justicia-tesoro
https://unaaldia.hispasec.com/2020/12/solarwinds-sufre-un-ataque-de-cadena-de-suministro.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.