Agencias del gobierno de EE. UU. Comprometidas por un estado-nación extranjero


Desde hace meses, las brechas se eliminaron aprovechando una vulnerabilidad en el software package de monitoreo de purple de SolarWinds, según la firma de seguridad FireEye.

Violación de seguridad, alerta de pirateo del sistema con un ícono rojo de candado roto que muestra datos no seguros bajo ciberataque, acceso vulnerable, contraseña comprometida, infección de virus, red de Internet con código binario

Imagen: Getty Illustrations or photos / iStockphoto

Los adversarios extranjeros han lanzado una serie de ciberataques contra agencias gubernamentales clave explotando una falla en el software package utilizado por muchos de ellos. Afectando las redes y los sistemas de correo electrónico de las agencias objetivo, la campaña maliciosa denominada UNC2452 por la firma de seguridad FireEye aprovechó una vulnerabilidad en la forma en que se entregan las actualizaciones a la plataforma de monitorización de redes Orion hecha por SolarWinds.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Informando que el La campaña podría haber comenzado en la primavera de 2020. y aún puede estar activo, FireEye dijo que los atacantes obtuvieron acceso a las víctimas a través de actualizaciones troyanas del software Orion. Específicamente, la táctica funciona ocultando código malicioso dentro de una actualización de software program legítima en lo que se conoce como un compromiso de la cadena de suministro.

Como resultado de la violación, los piratas informáticos han podido supervisar el tráfico de correo electrónico interno en los departamentos del Tesoro y Comercio de Estados Unidos, dijeron fuentes a Reuters. Sin embargo, FireEye dijo que las víctimas también incluyen entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente, y es possible que haya incluso más víctimas en otras regiones y sectores.

Los clientes de SolarWind incluyen compañías Fortune 500, los 10 principales proveedores de telecomunicaciones de EE. UU., Las cinco ramas del ejército estadounidense, el Departamento de Estado, la Agencia de Seguridad Nacional y la Oficina Ejecutiva del Presidente de los Estados Unidos. Como tal, la preocupación es que otras organizaciones críticas y agencias gubernamentales puedan estar en riesgo de verse comprometidas.

En respuesta, el Consejo de Seguridad Nacional convocó una reunión de emergencia el sábado. Al día siguiente, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió una directiva de emergencia pidiendo a todas las agencias civiles federales que revisen sus redes en busca de indicadores de compromiso y que desconecten o apaguen los productos SolarWinds Orion de inmediato.

FireEye, SolarWinds, Microsoft y otras fuentes han señalado a un estado-nación extranjero como la fuente de este ataque prolongado.

«SolarWinds acaba de ser consciente de que nuestros sistemas experimentaron un ataque guide altamente sofisticado a la cadena de suministro en las compilaciones del program SolarWinds Orion System para las versiones 2019.4 HF 5 hasta 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020», dijo SolarWindows en un aviso de seguridad. «Nos han informado que este ataque probablemente fue realizado por un estado nacional externo y tenía la intención de ser un ataque limitado, extremadamente dirigido y ejecutado manualmente, en lugar de un ataque amplio en todo el sistema».

Aunque FireEye aún no ha confirmado o identificado la fuente del compromiso, muchos apuntan directamente a Rusia. Las fuentes le dijeron al Washington Put up que los piratas informáticos rusos responsables son conocidos por los apodos APT29 o Cozy Bear y son parte del servicio de inteligencia exterior SVR de Rusia. El mismo grupo ha sido etiquetado como la fuente detrás de un ataque reciente contra el propio FireEye.

«Ahora se sabe que APT29, el grupo atribuido a la violación de FireEye de la semana pasada, una compañía conocida por su debida diligencia, comprometió tanto a los Departamentos del Tesoro como de Comercio», Rosa Smothers, ex analista de amenazas cibernéticas de la CIA y ahora vicepresidenta senior de KnowBe4, dijo a TechRepublic. «APT29 utiliza con mayor éxito el spear phishing para obtener acceso a una crimson desde allí, escalan los permisos para expandirse a la purple».

En una publicación compartida en Fb, el gobierno ruso negó cualquier culpabilidad en el ataque, calificando las afirmaciones como intentos infundados de los medios estadounidenses de culpar a Rusia por los ataques contra los organismos gubernamentales de los Estados Unidos.

En su publicación de site, FireEye dijo que los ataques lanzados como parte de esta campaña tienen los siguientes elementos en común:

  • Uso de la actualización maliciosa de SolarWinds. Insertar código malicioso en actualizaciones de application legítimas para el computer software Orion que permiten a un atacante acceder de forma remota al entorno de la víctima.
  • Huella de malware ligera. Usar malware limitado para cumplir la misión y evitar la detección.
  • Priorización del sigilo. Haciendo todo lo posible para observar y combinar con la actividad typical de la pink.
  • Alto OPSEC. Realización de reconocimientos con paciencia, cubriendo constantemente sus pistas y utilizando herramientas difíciles de atribuir.

«Es purely natural pensar que justo después de la violación de FireEye, los adversarios utilizaron sus herramientas y perpetraron esta violación del Departamento de Comercio», dijo Brandon Hoffman, director de seguridad de la información del proveedor de seguridad NetEnrich. «Sin embargo, un examen cuidadoso de esto parece llevarnos a la conclusión de que esto ha estado ocurriendo mucho más tiempo. El tipo de ataque descrito hasta la fecha involucra varias técnicas bajas y lentas. El mismo término amenaza persistente avanzada (APT) fue acuñado para describir un ataque como este «.

SolarWind aconseja a los clientes que actualicen su plataforma Orion a la versión 2020.2.1 HF 1 lo antes posible. Esta última versión está disponible en Portal del cliente de SolarWinds. Una versión de revisión adicional llamada 2020.2.1 HF 2 se espera que se implemente el martes 15 de diciembre. La compañía insta a los clientes a aplicar esa revisión, ya que reemplazará el componente comprometido y agregará otras mejoras de seguridad.

en un entrada en el blogMicrosoft también ofreció varios consejos sobre cómo las organizaciones pueden protegerse contra este tipo de exploits.

  1. Ejecute productos antivirus o EDR actualizados que detectan bibliotecas SolarWinds comprometidas y comportamientos de procesos potencialmente anómalos por estos binarios. Considere la posibilidad de desactivar SolarWinds en su entorno por completo hasta que esté seguro de que tiene una compilación confiable sin código inyectado. Para más detalles, consulte Aviso de seguridad de SolarWinds.
  2. Bloquear puntos finales C2 conocidos enumerados a continuación en IOC que utilizan su infraestructura de pink.
  3. Siga las mejores prácticas de su proveedor de tecnología de federación de identidad para proteger sus claves de firma de tokens SAML. Considere la seguridad del components para sus certificados de firma de token SAML si su proveedor de tecnología de federación de identidad lo admite. Consulte a su proveedor de tecnología de federación de identidad para obtener más detalles. Para los servicios de federación de Energetic Directory, revise las recomendaciones de Microsoft aquí: Prácticas recomendadas para proteger ADFS
  4. Asegúrese de que las cuentas de usuario con derechos administrativos sigan las mejores prácticas, incluido el uso de estaciones de trabajo de acceso privilegiado, JIT / JEA y autenticación sólida. Reduzca la cantidad de usuarios que son miembros de roles de directorio con privilegios elevados, como administrador international, administrador de aplicaciones y administrador de aplicaciones en la nube.
  5. Asegúrese de que las cuentas de servicio y los directores de servicio con derechos administrativos utilicen secretos de alta entropía, como certificados, almacenados de forma segura. Supervise los cambios en los secretos utilizados para las cuentas de servicio y los principales de servicio como parte de su programa de supervisión de seguridad. Supervisar el uso anómalo de las cuentas de servicio. Supervise sus inicios de sesión. Microsoft Azure Advertisement indica anomalías en la sesión, al igual que Microsoft Cloud Application Protection si está en uso.
  6. Reduzca el área de la superficie eliminando / deshabilitando aplicaciones no utilizadas o innecesarias y directores de servicio. Reduzca los permisos en las aplicaciones activas y los principales de servicio, especialmente los permisos de aplicaciones (AppOnly).
  7. Ver Proteja su infraestructura de identidad de Azure Ad para obtener más recomendaciones.

«En un ámbito más amplio, esta infracción vuelve a poner de reduce la necesidad de centrarse en los procesos de seguridad que han estado en vigor durante décadas», dijo Hoffman. «Parchar estos sistemas es tan crítico, si no más, como parchear las joyas de la corona. Al igual que muchas o la mayoría de las brechas importantes en la memoria reciente, estos ataques casi siempre se aprovechan de una falla o defecto en un proveedor que conduce a la objetivo principal.»

Ver también



Enlace a la noticia first