El Departamento de Justicia de Estados Unidos admitió públicamente que su red interna se vio comprometida como parte del ataque a la cadena de suministro de SolarWinds.
«El 24 de diciembre de 2020, la Oficina del Director de Información del Departamento de Justicia se enteró de una actividad maliciosa previamente desconocida, relacionada con el incidente global de SolarWinds que ha afectado a varias agencias federales y contratistas de tecnología, entre otros», declaró el portavoz del Departamento de Justicia, Marc Raimondi, en un breve comunicado. «Esta actividad implicó el acceso al entorno de correo electrónico de Microsoft Office 365 del Departamento«.
Los ciberdelincuentes espiaron las redes gubernamentales a través del software de SolarWinds. Potencialmente accedieron a aproximadamente el 3% de las cuentas de correo electrónico del Departamento de Justicia, pero agregó que no hay indicios de que hayan accedido a sistemas clasificados por el momento.
La publicación se produce un día después de que la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina del Director de Inteligencia Nacional (ODNI) y la Agencia de Seguridad Nacional (NSA) emitieran una declaración conjunta acusando a un adversario «probablemente de origen ruso» detrás de el ataque a SolarWinds. Las agencias describieron toda la operación de SolarWinds como «un esfuerzo de recopilación de inteligencia».
La campaña de espionaje, que se originó en marzo de 2020, funcionó mediante la entrega de código malicioso que se incorporó al software de administración de red SolarWinds a hasta 18,000 de sus clientes, aunque se cree que se ha realizado actividad intrusiva solo contra objetivos seleccionados.
En sus investigaciones, The New York Times , Reuters y The Wall Street Journal informaron que las oficinas de inteligencia están investigando la posibilidad de que el sistema de distribución de software TeamCity de JetBrains haya sido infectado y «utilizado como una vía para que los piratas informáticos inserten puertas traseras en el software de un incalculable número de empresas de tecnología «. TeamCity es un servidor de integración continua y gestión de compilación. Cuenta con 79 de las 100 empresas de Fortune como sus clientes, incluida SolarWinds.
Una publicación de Maxim Shafirov, director ejecutivo de Jetbrains, en su blog corporativo negó estar involucrada en el ataque de alguna manera, o que fuese contactada por algún gobierno o agencia de seguridad con respecto a su papel en el incidente de seguridad.
«SolarWinds es uno de nuestros clientes y utiliza TeamCity, que es un sistema de implementación e integración continua, que se utiliza como parte del software de construcción», dijo Shafirov. «SolarWinds no se ha puesto en contacto con nosotros con ningún detalle sobre el ataque y la única información que tenemos es la que se ha puesto a disposición del público».
Shafirov también enfatizó que en el caso de que TeamCity se hubiera utilizado para comprometer SolarWinds, podría deberse a una configuración incorrecta y no a una vulnerabilidad específica.