FireEye identifica Killswitch para SolarWinds …



El Consejo de Seguridad Nacional de la Casa Blanca establece un grupo unificado para coordinar la respuesta de las agencias federales a la amenaza.

FireEye, que el domingo pasado reveló un compromiso con el proveedor de software de administración de red SolarWinds que permitía a un atacante desconocido distribuir malware a miles de organizaciones potencialmente, identificó un interruptor que, según dice, evitaría que el malware opere en redes infectadas.

Pero en las redes donde los atacantes ya pueden haber implementado mecanismos de persistencia adicionales, el interruptor de seguridad no eliminará la amenaza de las redes de las víctimas, según el proveedor de seguridad.

FireEye dijo el domingo que una investigación que estaba llevando a cabo sobre una violación de su propia red la semana pasada descubrió a un actor de amenazas que distribuía ampliamente una puerta trasera llamada SUNBURST al ocultarla en actualizaciones legítimas de la tecnología de gestión de crimson Orion de SolarWinds.

SUNBURST (SolarWinds.Orion.Core.BusinessLayer dot dll) es una especie de troyano de primera etapa que los atacantes usaban para soltar cargas útiles adicionales para aumentar los privilegios, el movimiento lateral y el robo de datos en las redes infectadas, FireEye explicado. El sigilo, la planificación y la precisión con la que se ejecutó el ataque tenían todas las características de un actor respaldado por el estado nacional, dijo el proveedor. FireEye actualmente está rastreando al actor de amenazas como UNC2452, pero dice que no ha podido identificar si podría estar operando y en nombre de quién.

Expertos en seguridad, así como algunos miembros del Congreso que recibieron informes clasificados sobre el ataque, señalan a Rusia como el posible autor.

FireEye ha lanzado IoC y otros datos para ayudar a las organizaciones a detectar y mitigar la amenaza. SolarWinds ha lanzado actualizaciones, incluida una revisión hoy, que dice que aborda el problema en todas las versiones afectadas de su tecnología. Desde que se reveló la violación, Microsoft y muchos otros proveedores de herramientas de detección de malware también han agregado firmas para la DLL maliciosa que FireEye observó que se estaba utilizando para distribuir SUNBURST.

Un Killswitch eficaz en algunas circunstancias

Un portavoz de FireEye dijo el miércoles que el análisis de la compañía de SUNBURST mostró que se podría evitar que el malware funcione en las condiciones adecuadas. «Dependiendo de la dirección IP devuelta cuando el malware resuelve avsvmcloud dot com bajo ciertas condiciones, el malware se terminaría por sí mismo y evitaría una mayor ejecución. FireEye colaboró ​​con GoDaddy y Microsoft para desactivar las infecciones de SUNBURST», dijo el portavoz.

Según FireEye, el killswitch es efectivo contra implementaciones nuevas y anteriores de SUNBURST que aún podrían estar transmitiendo señales a avsvmcloud dot com, la ubicación del servidor de comando y manage del malware. «Sin embargo, en las intrusiones que FireEye ha visto, este actor se movió rápidamente para establecer mecanismos persistentes adicionales para acceder a las redes de víctimas más allá de la puerta trasera de SUNBURST».

En estas situaciones, el killswitch no arrancaría al actor de la amenaza fuera de una purple infectada. Pero podría hacerles la vida más difícil usar versiones ya distribuidas de SUNBURST, dijo FireEye.

La noticia del killswitch se create en medio de una gran preocupación por el alcance potencial y el impacto de la intrusión de SolarWinds, que FireEye descubrió al investigar una violación de su propia red la semana pasada.

Directiva presidencial de la period Obama

El martes, el Consejo de Seguridad Nacional de la Casa Blanca (NSC) anunció que se había establecido un Grupo de Coordinación Unificado (UCG) para garantizar una respuesta coordinada de la agencia federal a la amenaza, según lo prescrito por PPD-41, una directiva de la era de Obama. El proceso PPD-41 «facilita la coordinación continua e integral de los esfuerzos de todo el gobierno para identificar, mitigar, remediar y responder a este incidente», el NSC dijo. El lunes temprano, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS emitió una directiva de emergencia poco común que ordenaba a todas las agencias civiles federales apagar y desconectar inmediatamente las instancias de SolarWinds Orion, el producto de administración de purple que el atacante usó para distribuir el malware.

Gran parte de la preocupación tiene que ver con el alcance potencial y el impacto de la infracción. SolarWinds suministra tecnología de administración de redes a la mayoría de las agencias federales, las cinco ramas del ejército y casi todas las compañías Fortune 500, además de miles de servicios administrados.

La herramienta de gestión de purple Orion de la empresa proporciona a SolarWinds acceso profundo a algunas de las redes más importantes y sensibles del mundo. Muchos creen que al envenenar las actualizaciones legítimas de Orion con el malware SUNBURST, los atacantes han logrado obtener lo que algunos denominan «acceso en modo Dios» en las redes comprometidas. Entre los que se cree que se vieron afectados por la violación se encuentran agencias federales como el Departamento del Tesoro de EE. UU., Seguridad Nacional, Departamento de Justicia y Departamento de Estado.

Investigadores de Huntress Labs, que a principios de este año validó un exploit de día cero que involucraba otra tecnología de SolarWinds llamada N-Central el miércoles, dijeron que habían compilado una lista de más de 4.000 dominios y subdominios vinculados a la DLL envenenada. El análisis de Huntress Labs de los datos disponibles mostró que la DLL con puerta trasera está presente en 500,000 sistemas, pero solo dentro del producto Orion.

Según el proveedor, la DLL maliciosa puede estar presente en tres programas SolarWinds específicos y en 12 ubicaciones distintas en un sistema de archivos de computadora. Sin embargo, la presencia de la DLL por sí sola no indica un compromiso, enfatizó el proveedor.

Varias vulnerabilidades de SolarWind

SolarWinds aún no ha revelado cómo exactamente el atacante logró obtener suficiente acceso a sus sistemas para poder insertar malware en las actualizaciones de software legítimas de la compañía. La compañía ha notado que las investigaciones preliminares muestran un compromiso del sistema de construcción de SolarWinds.

Los datos disponibles en la base de datos de vulnerabilidades MITRE CVE muestran que los investigadores han informado de 23 vulnerabilidades en las tecnologías de SolarWinds solo este año. Muchos de ellos, incluidos seis que fueron divulgado en agosto—He estado en N-Central, una tecnología de monitoreo remoto de SolarWinds.

Daniel Trauner, director de seguridad de Axonius, dice que incidentes como este destacan la importancia de las buenas prácticas de evaluación de riesgos de seguridad de los proveedores. Las organizaciones deben mirar ejemplos públicos de cuestionarios de evaluación de riesgos de seguridad de proveedores, como el VSAQ de Google, para tener una notion de en qué concentrarse, dice.

Al mismo tiempo, existen límites a la cantidad de investigación que se puede hacer, dice.

«Aunque las empresas más grandes y maduras suelen tener un proceso formal de control de cambios diseñado para minimizar el riesgo inherente a modificar el acceso o los sistemas existentes, este modelo suele tener límites prácticos», dice. La mayor parte del enfoque se centrará legítimamente en un subconjunto de sistemas críticos y elementos específicos del cambio, como resaltar cualquier cambio de acceso privilegiado o probar la estabilidad del sistema después de aplicar un parche.

«Desafortunadamente, es possible que no haya comprobaciones de rutina razonables que hubieran sido parte de un proceso de gestión de cambios que hubieran detectado esta actualización de SolarWinds con puerta trasera», dice.

El incidente de SolarWinds ha acentuado la peligrosa exposición de las agencias federales de EE. UU. A amenazas a través de la cadena de suministro, dice Jacob Olcott, vicepresidente de comunicaciones y asuntos gubernamentales de BitSight.

Las agencias gubernamentales dependen de una vasta cadena de suministro de terceros con visibilidad limitada de la postura de seguridad de los proveedores críticos, dice. Los enfoques actuales no abordan adecuadamente el riesgo y se necesita un cambio significativo en el pensamiento y el enfoque tecnológico para la seguridad de la cadena de suministro.

«Durante los últimos cinco años, los adversarios han podido acceder a información individual valiosa, propiedad intelectual practical, secretos comerciales y otra información crítica de seguridad nacional al penetrar en la cadena de suministro del gobierno», señala Olcott.

«Debe integrar la ciberseguridad en todos los contratos, imponiendo requisitos a los contratistas para cumplir con ciertos estándares de ciberseguridad».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original