El ciberataque de SolarWinds: el hack, las víctimas y lo que se sabe

 No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Parte II

Desde que se reveló el ataque a la cadena de suministro de SolarWinds el domingo pasado, ha habido un torbellino de noticias, detalles técnicos y análisis publicados sobre el ataque.

Debido a que la cantidad de información que se publicó en tan poco tiempo es definitivamente abrumadora, hemos publicado esto como un resumen de las noticias de SolarWinds de esta semana.

La información se destila en un formato que, con suerte, explicará el ataque, quiénes son sus víctimas y qué sabemos hasta este momento.

El ataque a la cadena de suministro de SolarWinds

Si bien se dio a conocer el ataque de SolarWind el 13 de diciembre, la primera revelación de sus consecuencias se realizó el 8 de diciembre cuando la firma líder en ciberseguridad FireEye reveló que fue pirateado por un grupo APT de un estado-nación. Como parte de este ataque, los actores de amenazas robaron las herramientas de evaluación de Red Team que FireEye usa para probar la seguridad de sus clientes.
No se sabía cómo los piratas informáticos obtuvieron acceso a la red de FireEye hasta el domingo 13 de diciembre de 2020, cuando Microsoft, FireEye, SolarWinds y el gobierno de los EE. UU., emitieron un informe coordinado de que SolarWinds había sido pirateado por actores de amenazas patrocinados por el estado que se cree que son parte del SVR ruso.

Uno de los clientes de SolarWinds que fue violado en este ataque es FireEye.

Como parte del ataque, los actores de la amenaza obtuvieron acceso al sistema de compilación SolarWinds Orion y agregaron una puerta trasera al archivo DLL legítimo de SolarWinds.Orion.Core.BusinessLayer.dll. Esta DLL luego se distribuyó a los clientes de SolarWinds en un ataque a la cadena de suministro a través de una plataforma de actualización automática que se utiliza para lanzar nuevas actualizaciones de software.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esta puerta trasera DLL se conoce como SunBurst (FireEye) o Solarigate (Microsoft, y se carga mediante el programa SolarWinds.BusinessLayerHost.exe. Una vez cargado, se conectará de nuevo al servidor de comando y control remoto en un subdominio de avsvmcloud [.] Com para recibir "trabajos" o tareas para ejecutar en el equipo infectado.

El nombre DNS del servidor de control de comandos de la puerta trasera se crea utilizando un algoritmo de generación de dominio (DGA) para crear un subdominio codificado de avsvmcloud [.] Com. FireEye afirma que el subdominio se crea "concatenando un ID de usuario de la víctima con una codificación reversible del nombre de dominio de la máquina local de la víctima", y luego con un hash. Por ejemplo, un subdominio utilizado en este ataque es '1btcr12b62me0buden60ceudo1uv2f0i.appsync-api.us-east-2 [.] No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.'
Se desconoce qué tareas se ejecutaron, pero podría ser cualquier cosa, desde dar acceso remoto a los actores de la amenaza, descargar e instalar más malware o robar datos.

Se desconoce qué tareas se ejecutaron, pero podría ser cualquier cosa, desde dar acceso remoto a los actores de la amenaza, descargar e instalar más malware o robar datos.

Microsoft publicó un artículo técnico el viernes para aquellos interesados en los aspectos técnicos de la puerta trasera SunBurst.
Un informe de Kim Zetter publicado el viernes por la noche indica que los actores de la amenaza pueden haber realizado una prueba del método de distribución ya en octubre de 2019. Durante esta prueba, la DLL se distribuyó sin la puerta trasera maliciosa SunBurst.
Después de que los actores de amenazas comenzaron a distribuir la puerta trasera en marzo de 2020, los investigadores creen que los atacantes han estado sentados en silencio en algunas de las redes comprometidas durante meses mientras recopilaban información o realizaban otras actividades maliciosas.

El informe de Zetter indicó que FireEye finalmente detectó que fueron pirateados después de que los actores de la amenaza registraron un dispositivo en el sistema de autenticación multifactor (MFA) de la compañía utilizando credenciales robadas. Después de que el sistema alertó al empleado y al equipo de seguridad de este dispositivo desconocido, FireEye se dio cuenta de que habían sido comprometidos.
Los hackers detrás del ataque SolarWinds

FireEye actualmente está rastreando al actor de amenazas detrás de esta campaña como UNC2452, mientras que la firma de ciberseguridad con sede en Washington Volexity ha vinculado esta actividad a un actor de amenazas al que rastrea bajo el nombre de Dark Halo.

Volexity dice que los actores de Dark Halo han coordinado campañas maliciosas entre fines de 2019 y julio de 2020, apuntando y comprometiendo con éxito el mismo grupo de expertos con sede en EE. UU. Tres veces seguidas.

"En el incidente inicial, Volexity encontró múltiples herramientas, puertas traseras e implantes de malware que habían permitido al atacante pasar desapercibido durante varios años", dijo la compañía.

En el segundo ataque, después de ser expulsado de la red de la víctima, Dark Halo aprovechó un error del servidor Microsoft Exchange recientemente revelado que les ayudó a eludir las defensas de autenticación multifactor (MFA) de Duo para el acceso no autorizado al correo electrónico a través de la aplicación web Outlook (OWA). Servicio.

Durante el tercer ataque dirigido al mismo grupo de expertos, el actor de la amenaza utilizó el ataque a la cadena de suministro de SolarWinds para implementar la misma puerta trasera que Dark Halo usó para violar las redes de FireEye y varias agencias gubernamentales de EE. UU.

Los informes de los medios no confirmados también han citado fuentes que vinculan los ataques con APT29 (también conocido como Cozy Bear), un grupo de piratería patrocinado por el estado asociado con el Servicio de Inteligencia Exterior de Rusia (SVR).

Los investigadores, incluidos FireEye, Microsoft o Volexity, no han atribuido estos ataques a APT29 en este momento.
La Embajada de Rusia en los EE. UU. Reaccionó  a estos informes de los medios diciendo que eran un "intento infundado de los medios de EE. UU., de culpar a Rusia por los ataques de piratas informáticos a los organismos gubernamentales de los EE. UU."

"Rusia no realiza operaciones ofensivas en el dominio cibernético", agregó la Embajada.

Si bien Rusia continúa negando estos ataques, el secretario de Estado Mike Pompeo declaró en una entrevista publicada el viernes por la noche que está "bastante claro" que Rusia estaba detrás de ese ataque.

"Este fue un esfuerzo muy significativo, y creo que ahora podemos decir con bastante claridad que fueron los rusos los que participaron en esta actividad", dijo Pompeo al presentador de radio Mark Levin.

Las victimas del ataque

Los investigadores creen que la DLL maliciosa se envió a aproximadamente 18.000 clientes como parte de este ataque. Sin embargo, los actores de la amenaza solo se dirigieron a organizaciones que percibían como de 'alto valor', por lo que, aunque algunos de estos clientes pueden haber recibido la DLL, se desconoce si fueron atacados activamente en nuevos ataques.

La lista actualmente conocida de organizaciones que fueron afectadas por el ataque a la cadena de suministro de SolarWinds incluye:

    FireEye
    Departamento del Tesoro de EE. UU.
    Administración Nacional de Telecomunicaciones e Información de EE. UU. (NTIA)
    Departamento de Estado de los Estados Unidos
    Los Institutos Nacionales de Salud (NIH) (parte del Departamento de Salud de EE. UU.)
    Departamento de Seguridad Nacional de EE. UU. (DHS)
    Departamento de Energía de EE. UU. (DOE)
    Administración Nacional de Seguridad Nuclear de EE. UU. (NNSA)
    Algunos estados de EE. UU. (Los estados específicos no se revelan)
    Microsoft
    Cisco

Microsoft también ha identificado y notificado a más de 40 de sus clientes afectados por este ataque, pero no ha revelado sus nombres. Afirman que el 80% de las víctimas eran estadounidenses y el 44% pertenecían al sector de las tecnologías de la información.

Basándose en la decodificación de subdominios generados por el algoritmo de generación de dominios de malware (DGA), muchas empresas conocidas pueden revelar ataques dirigidos en una fecha posterior.

¿Qué están haciendo las empresas de seguridad para proteger a las víctimas?

Desde que se reveló el ciberataque, las empresas de seguridad han estado agregando los binarios maliciosos de puerta trasera SunBurst a sus detecciones.

Si bien Microsoft ya estaba detectando y alertando a los clientes sobre binarios de SolarWinds maliciosos, no los estaba poniendo en cuarentena por temor a que pudiera afectar los servicios de administración de red de una organización. El 16 de diciembre, a las 8:00 a.m. PST, Microsoft Defender comenzó a poner en cuarentena los binarios detectados incluso si el proceso se está ejecutando.

Microsoft, FireEye y GoDaddy también colaboraron para crear un interruptor de apagado (kill switch) para la puerta trasera SunBurst distribuida en el hack de SolarWinds.

Cuando los binarios maliciosos intenten ponerse en contacto con los servidores de comando y control, realizarán una resolución de DNS para obtener la dirección IP. Si esta dirección IP es parte de ciertos rangos de IP, incluidos los que son propiedad de Microsoft, la puerta trasera terminará y evitará que se ejecute nuevamente.

Para crear el interruptor de interrupción, GoDaddy creó una resolución de DNS comodín para que cualquier subdominio de avsvmcloud [.] Com se resuelva en la dirección IP 20.140.0.1, que pertenece a Microsoft y está en la lista de bloqueo del malware.
Como esta dirección IP es parte de la lista de bloqueo del malware, cuando se conecta a cualquier subdominio de avsvmcloud [.] Com, se descargará y dejará de ejecutarse.

Si bien este interruptor desactivará las implementaciones de puerta trasera de SunBurst que conectan los servidores de comando y control, FireEye ha declarado que los actores de amenazas pueden haber implementado otras puertas traseras.

"Sin embargo, en las intrusiones que FireEye ha visto, este actor se movió rápidamente para establecer mecanismos persistentes adicionales para acceder a las redes de víctimas más allá de la puerta trasera de SunBurst. Este interruptor no eliminará al actor de las redes de víctimas donde han establecido otras puertas traseras. Sin embargo, lo hará hacen que sea más difícil para el actor aprovechar las versiones previamente distribuidas de SunBurst ", advirtió FireEye en un comunicado.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta