Las preocupaciones aumentan a medida que más detalles de SolarWinds …



Las empresas que ejecutan el program de administración de red Orion de la compañía deben asumir un compromiso y responder en consecuencia, dicen los expertos en seguridad.

Las noticias de esta semana sobre un posible actor de amenazas con sede en Rusia que infecta a miles de organizaciones con malware entregado a través de actualizaciones de software aparentemente legítimas de su producto de administración de red Orion de SolarWinds han avivado amplias preocupaciones en muchos frentes.

Las preocupaciones son particularmente altas porque, según se informa, las víctimas de la campaña incluyen el Departamento del Tesoro de EE. UU., El Departamento de Seguridad Nacional, el Departamento de Estado, el Departamento de Justicia y, potencialmente, entidades de las cinco ramas del ejército estadounidense. Entre otras que se cree que están afectadas se encuentran numerosas empresas de Fortune 500 SolarWinds cuenta con 499 de ellas como clientes.

El proveedor de seguridad FireEye descubrió la campaña SolarWinds cuando investigó recientemente una violación de su propia red que resultó en el robo de varias de sus herramientas de piratería ofensivas. Como se esperaba, el ataque dirigido ha vuelto a centrar la atención en el problema de larga information de la cadena de suministro y la seguridad de terceros. También ha alertado sobre la medida en que los actores rusos de amenazas persistentes avanzadas (APT) y los actores de amenazas de otros países pueden haberse insinuado y estar al acecho en la infraestructura y las redes críticas de EE. UU., Listos para activarse en cualquier momento.

Impacto amplio
Los productos de administración de pink como Orion «tienen una amplia visibilidad y permisos en todos los dispositivos en red», dice Mike Carrigan, director de operaciones del proveedor de seguridad industrial PAS Worldwide.

En el sector industrial, los piratas informáticos pueden aprovechar la tecnología para obtener acceso a entornos de sistemas de regulate industrial críticos para el negocio y moverse lateralmente a través de sistemas en purple para robar datos sobre procesos industriales, fórmulas químicas y otros datos confidenciales.

Los atacantes podrían usar su acceso para interrumpir las operaciones, provocando paros de producción o, lo que es peor, incidentes ambientales y de seguridad, dice Carrigan. «Dada la atribución del ataque a una amenaza persistente avanzada respaldada por un estado-nación importante, es probable que los piratas informáticos tengan acceso al conocimiento necesario de los entornos de sistemas de management industrial para explotar prácticas comunes &#39inseguras por diseño&#39», dijo. advierte.

FireEye dice que su investigación muestra que el actor de amenazas, que está rastreando como UNC2452, insertó una puerta trasera denominada SUNBURST en un componente firmado digitalmente del producto de administración de pink Orion de SolarWind. El malware se ocultó en actualizaciones legítimas de Orion que SolarWinds distribuyó entre marzo y junio de este año.

SolarWinds dice que su investigación muestra que las actualizaciones se enviaron a unos 33.000 de sus aproximadamente 300.000 clientes en todo el mundo. Unos 18.000 de ellos descargaron el program, pero no está claro cuántas de esas organizaciones fueron realmente atacadas. El proveedor lanzó una versión parcheada de su computer software afectado el lunes y dijo que se lanzaría una revisión adicional el 15 de diciembre. Sin embargo, hasta la tarde del 15 de diciembre, esa revisión no parece haber sido lanzada.

FireEye&#39s análisis de la actividad posterior al compromiso mostró que el malware SUNBURST permanece inactivo en los sistemas de las víctimas durante dos semanas mientras perfila la purple y busca mecanismos de detección de malware. Una vez activo, el malware, que en realidad es un gotero, llega a sistemas remotos controlados por atacantes para descargar cargas útiles adicionales, una de las cuales es el agente Beacon de Cobalt Strike. El tráfico de malware está diseñado para mezclarse con la actividad legítima de SolarWinds, y el código en sí se oculta a la vista mediante el uso de nombres falsos y su vinculación a componentes legítimos, dice FireEye.

El actor amenazante desconocido
El proveedor de seguridad ha descrito a UNC2452 como un actor de amenaza que no había encontrado anteriormente. FireEye ha publicado indicadores de compromiso (IoC) y firmas para que las organizaciones puedan detectar la amenaza. Pero hasta ahora, al menos, no ha atribuido públicamente el ataque a ningún patrocinador específico de un Estado-nación. Sin embargo, numerosos informes de los medios han atribuido la campaña a APT29, o Cozy Bear, un grupo que se cree está asociado con el aparato de inteligencia de Rusia.

Paul Prudhomme, analista de inteligencia de amenazas cibernéticas en IntSights, dice que su firma hasta ahora no ha podido corroborar o verificar de forma independiente la atribución reclamada a grupos de ciberespionaje rusos patrocinados por el estado. «Pero, no obstante, consideramos que la afirmación es creíble y digna de mayor consideración», dice.

La campaña es consistente con lo que IntSights ha observado con los actores rusos patrocinados por el estado, incluido el objetivo del gobierno de los EE. UU., La estricta seguridad operativa y el nivel generalmente alto de sofisticación y habilidad comercial involucrado. Al mismo tiempo, «los compromisos de la cadena de suministro de tecnología de este tipo son más típicos de los grupos de ciberespionaje chinos que de sus homólogos rusos», dice Prudhomme.

Mientras tanto, el proveedor de seguridad Volexity dijo el lunes que su análisis de las técnicas, técnicas y procedimientos (TTP) que lanzó FireEye sugiere que el actor de amenazas es un grupo que Volexity rastreó anteriormente como «Dim Halo». en un entrada en el site, Los investigadores de Volexity describieron a Darkish Halo como un grupo que encontraron mientras investigaban tres incidentes separados en un grupo de expertos con sede en EE. UU. A fines de 2019 y principios de este año. Volexity dijo que encontró múltiples puertas traseras, implantes de malware y herramientas que permitieron que Dark Halo permaneciera sin ser detectado en la pink del grupo de expertos durante varios años.

Respuesta recomendada
Los investigadores de seguridad enfatizaron esta semana que el hecho de que una organización haya recibido actualizaciones contaminadas no significa que haya sido un objetivo. Aun así, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional ha ordenado a todas las agencias civiles federales que obtengan imágenes forenses de la memoria del sistema y analicen el tráfico de pink almacenado en busca de IoC.

También ha ordenado a todas las agencias que desconecten y apaguen las instancias de Orion, bloqueen el tráfico hacia y desde los hosts que ejecutan cualquier versión de SolarWinds y busquen y eliminen las cuentas controladas por los actores de amenazas y los mecanismos de persistencia. «Trate a todos los hosts monitoreados por el computer software de monitoreo SolarWinds Orion como comprometidos por los actores de amenazas y asuma que se han implementado más mecanismos de persistencia», señaló CISA.

Ben Johnson, ex analista de la Agencia de Seguridad Nacional y CTO y cofundador de Obsidian Security, dice que la evidencia de persistencia y movimiento lateral variará según la arquitectura de purple específica de una organización y la configuración de su entorno SolarWinds. «Pero debe investigar de inmediato todos los registros que tenga (registros de autenticación y acceso, registros de flujo de crimson y otros) para los servidores que ejecutan primero la versión con puerta trasera del computer software Orion».

Él recomienda que la organización busque evidencia de los TTP e IoC publicados por otras organizaciones que han investigado este tema, como FireEye, Volexity y Microsoft. «Cree nuevas reglas de detección / prevención para estos IoC en su SIEM y otros sistemas. Además, rote las credenciales de cuentas de usuario o servicio relacionadas con SolarWinds».

Además de buscar conexiones salientes sospechosas, las organizaciones también deben buscar actividad maliciosa que ocurra internamente, dijeron los investigadores de Infocyte el lunes. «Por ejemplo, FireEye también publicó información sobre SUPERNOVA, que es una puerta trasera de shell web .Web personalizada que se hace pasar por un administrador legítimo de servicios internet de SolarWinds», célebre. A diferencia de SUNBURST, que hace conexiones salientes, SUPERNOVA permite el acceso de puerta trasera entrante a las interfaces de administración de SolarWinds, dijeron.

¿Cómo se rompió SolarWinds?
Con las investigaciones aún en curso, existe cierta especulación sobre cómo los actores de amenazas lograron comprometer el entorno de SolarWinds y envenenar las actualizaciones de software package de la compañía.

Los detalles que SolarWinds ha publicado sugieren que los atacantes obtuvieron acceso al sistema de compilación de program Orion de la compañía, o al entorno de desarrollo CI / CD, utilizando tokens de autenticación SAML falsificados que probablemente se hicieron pasar por cuentas con muchos privilegios.

Declaraciones de que SolarWinds y Microsoft han publicado sugieren que los atacantes probablemente pudieron falsificar los tokens al obtener primero acceso al entorno Microsoft 365 del primero a través de un compromiso area separado. Según Volexity, sus investigaciones previas de Dark Halo mostraron que el grupo estaba utilizando un método sofisticado, que involucra el uso de una clave secreta de Outlook World wide web Any place (OWA), para evitar la autenticación multifactor. Al igual que otros proveedores de seguridad, Volexity ha dicho que sus investigaciones hasta ahora no han revelado pistas sobre el origen de Dark Halo.

La probabilidad de que la puerta trasera se haya insertado utilizando un sistema de compilación comprometido es interesante y será un vector de ataque a tener en cuenta el próximo año, dice Daniel Trauner, director de seguridad de Axonius.

«Este es otro caso más que muestra que no proteger un sistema de compilación moderno, que a menudo tiene sus propias claves, cuentas de servicio y otras características sensibles destinadas a permitir implementaciones completamente automatizadas, puede llevar a un compromiso severo», dice Trauner. Las organizaciones también deben tener especial cuidado para proteger y auditar el uso de cualquier clave de firma de computer software, especialmente dentro de un sistema de compilación, donde la seguridad no siempre es una alta prioridad, dice.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique