Lo que nos golpeó podría afectar a otros – Krebs on Security


Nueva investigación sobre el malware que preparó el escenario para el megabreach en el proveedor de TI Vientos solares muestra que los perpetradores pasaron meses dentro de los laboratorios de desarrollo de program de la empresa perfeccionando su ataque antes de insertar código malicioso en las actualizaciones que SolarWinds luego envió a miles de clientes. Más preocupante, la investigación sugiere que los métodos insidiosos utilizados por los intrusos para subvertir el flujo de desarrollo de computer software de la empresa podrían reutilizarse contra muchos otros proveedores importantes de software package.

En una publicación de blog site publicado el 11 de enero, SolarWinds dijo que los atacantes comprometieron su entorno de desarrollo por primera vez el 4 de septiembre de 2019. Poco después, los atacantes comenzaron a probar código diseñado para inyectar subrepticiamente puertas traseras en Orión, un conjunto de herramientas que utilizan muchas empresas de Fortune 500 y una amplia franja del gobierno federal para administrar sus redes internas.

Imagen: SolarWinds.

Según SolarWinds y un análisis técnico desde CrowdStrike, los intrusos intentaban averiguar si su «Mancha photo voltaic«El malware, diseñado específicamente para socavar el proceso de desarrollo de program de SolarWinds, podría insertar con éxito sus»Resplandor photo voltaic”Puerta trasera en los productos de Orion sin activar ninguna alarma o alertar a los desarrolladores de Orion.

En octubre de 2019, SolarWinds envió una actualización a sus clientes de Orion que contenía el código de prueba modificado. Para febrero de 2020, los intrusos habían utilizado Sunspot para inyectar la puerta trasera Sunburst en el código fuente de Orion, que luego fue firmado digitalmente por la compañía y propagado a los clientes a través del proceso de actualización de program de SolarWinds.

Crowdstrike dijo que Sunspot fue escrito para poder detectar cuándo se instaló en un sistema de desarrollador SolarWinds y para esperar hasta que los desarrolladores accedieran a archivos específicos de código fuente de Orion. Esto permitió a los intrusos «reemplazar los archivos de código fuente durante el proceso de compilación, antes de la compilación», escribió Crowdstrike.

Los atacantes también incluyeron salvaguardas para evitar que las líneas de código de puerta trasera aparezcan en los registros de compilación del software Orion y verificaciones para garantizar que dicha manipulación no provoque errores de compilación.

«El diseño de SUNSPOT sugiere que los desarrolladores [de malware] invirtieron mucho esfuerzo para garantizar que el código se insertara correctamente y no se detectara, y priorizaron la seguridad operativa para evitar revelar su presencia en el entorno de compilación a los desarrolladores de SolarWinds», escribió CrowdStrike.

Una tercera variedad de malware, denominada «Lágrima«Por FireEye, la empresa que reveló por primera vez el ataque SolarWinds en diciembre – se instaló a través de las actualizaciones de Orion con puerta trasera en las redes que los atacantes de SolarWinds querían saquear más profundamente.

Hasta ahora, el malware Teardrop se ha encontrado en varias redes gubernamentales, incluidos los departamentos de Comercio, Energía y Tesoro, el Departamento de Justicia y la Oficina Administrativa de los tribunales de EE. UU.

SolarWinds enfatizó que si bien el código Sunspot fue diseñado específicamente para comprometer la integridad de su proceso de desarrollo de software, ese mismo proceso probablemente sea común en la industria del computer software.

“Nuestra preocupación es que en este momento pueden existir procesos similares en entornos de desarrollo de computer software en otras empresas en todo el mundo”, dijo SolarWinds. Director ejecutivo Sudhakar Ramakrishna. «La gravedad y complejidad de este ataque nos ha enseñado que combatir de manera más eficaz ataques similares en el futuro requerirá un enfoque de toda la industria, así como asociaciones público-privadas que aprovechen las habilidades, la percepción, el conocimiento y los recursos de todos los componentes».


Etiquetas: CrowdStrike, FireEye, Orion, Violación de SolarWinds, Sudhakar Ramakrishna, Malware Sunburst, Malware Sunspot, Malware Teardrop

Esta entrada se publicó el martes 12 de enero de 2021 a las 3:50 pm y está archivada en Otro.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first