– Microsoft revisó CodeQL en GitHub para ver si el código fuente tenía alguna modificación, ya que evaluaron que estaba relacionado con la reciente racha de ataques de SolarWinds.
Microsoft admite que anteriormente realizaron consultas en CodeQL de código abierto para investigar el impacto de los ataques de malware Sunburst o Solarigate integrados en la actualización del software SolarWinds Orion. El público también puede utilizar la consulta para realizar un análisis similar.
Microsoft lanzó la consulta de CodeQL como parte de su respuesta a un ataque al software de monitoreo de red SolarWinds Orion, que luego se utilizó como trampolín para atacar varias agencias gubernamentales de EE. UU. y más de otras 100 empresas privadas. La mayoría son empresas de tecnología.
Supuestamente, el grupo de piratas informáticos que llevó a cabo el ataque a SolarWinds fue respaldado por el gobierno ruso y luego llevó a cabo sus acciones a principios de 2020, antes de que finalmente fuera revelado por Microsoft y FireEye. Microsoft admitió que en el manejo del ataque involucraron a casi 1,000 técnicos.
“Un aspecto clave del ataque de Solarigate es atacar la cadena de suministro, lo que permite al atacante modificar los archivos binarios del producto Orion de SolarWinds. El código binario modificado luego se distribuye a través del canal de actualización oficial de la compañía, de modo que los piratas informáticos pueden realizar acciones maliciosas, como robar datos importantes, información confidencial y apoderarse de dispositivos. Este incidente recuerda a todas las empresas que no solo se centren en los ataques de alto nivel, sino que también revisen su base de código”, dijo el equipo de seguridad de Microsoft en una publicación de blog.
Microsoft utiliza consultas de CodeQL para analizar su código fuente y confirmar si hay indicios de intrusiones y patrones de codificación asociados con Solorigate o Sunburst.
A principios del mes pasado, Microsoft admitió que los piratas informáticos de SolarWinds habían descargado un código fuente de Azure, Exchange e Intune que, según dijeron, todavía estaba en una categoría de ataque limitada.
El análisis de código dinámico y estático es parte de la estrategia de defensa de una empresa que se puede utilizar para detectar ataques basados en software. Microsoft advierte que los resultados de la consulta deben revisarse porque el indicador podría aparecer por casualidad o como una falsa alarma.
