Surgen más detalles del ataque SolarWinds



Se descubre una tercera pieza de malware, pero todavía hay muchas incógnitas sobre los ataques épicos supuestamente fuera de Rusia.

A medida que se descubrió otra pieza de malware en el ataque al program del sistema de gestión de crimson SolarWinds, todavía faltan varios elementos necesarios para dibujar una imagen completa de los ciberataques masivos contra las principales agencias y corporaciones del gobierno de EE. UU., Incluido el proveedor de seguridad y el experto en respuesta a incidentes. FireEye.

SolarWinds y CrowdStrike detallaron esta semana una tercera herramienta de malware, denominada Sunspot, que se encontró en el ataque al proveedor de software. Sunspot es un programa personalizado que insertó la llamada puerta trasera Sunburst en el entorno de creación de software package del producto de gestión de red Orion de SolarWinds. CrowdStrike, que analizó Sunspot en nombre de SolarWinds, dice que la herramienta fue plantada cuidadosamente de alguna manera por los atacantes y se mantuvo oculta a los desarrolladores de SolarWinds con un seguimiento y camuflaje sofisticados para que no pudiera ser detectada.

«Esta es una herramienta especialmente diseñada», dice Adam Meyers, vicepresidente de inteligencia de CrowdStrike.

En una rara inversión de roles en lo que respecta a la atribución del estado-nación, la comunidad de inteligencia de EE. UU. Ha citado públicamente a Rusia como el autor de los ataques, mientras que las empresas de seguridad FireEye y CrowdStrike, que se especializan en la actividad del estado-nación, han sido inusualmente cautelosas en identificar un grupo de amenaza o una nación detrás de los ataques. Ninguno de los proveedores confirmará si es Rusia.

El director ejecutivo de FireEye, Kevin Mandia, señaló la semana pasada durante un evento del panel del Instituto Aspen que el grupo de ataque aquí «huele muy diferente» a pesar de las similitudes en su comportamiento con los estados-nación conocidos. FireEye fue el primero en detectar e informar del ataque al computer software de SolarWinds después de descubrir que su propia implementación de SolarWinds había sido atacada y que las credenciales de usuario y sus herramientas del equipo rojo habían sido robadas.

Los atacantes colocaron malware en actualizaciones legítimas del software program de gestión de pink Orion de SolarWinds que se envió a unos 18.000 clientes del software program del sector público y privado. Según las evaluaciones de inteligencia de los Estados Unidos, un número muy pequeño de esas organizaciones en realidad fueron atacadas y comprometidas.

«Este es un ataque bastante complejo», dice Meyers de CrowdStrike. «Tienen un opsec absolutamente impecable por lo que hemos visto».

Caso en cuestión: el código fuente de Sunburst estaba incrustado en Sunspot, explica, pero los atacantes habían hecho algo que él nunca había visto antes. «Estábamos emocionados de ver el código fuente de Sunburst, pero nos dimos cuenta de que lo habían ejecutado a través de un descompilador y lavado el código», por lo que se desinfectó y no dejó huellas digitales ni otras pistas, dice.

El implante Sunspot también podría reutilizarse, señala, y los atacantes podrían usarlo con otro código fuente.

SolarWinds, que recientemente contrató al exdirector de CISA Christopher Krebs y al exjefe de seguridad de Fb Alex Stamos para ayudar en su proceso de recuperación de brechas, dijo que los atacantes parecen haberse infiltrado por primera vez en la empresa en septiembre de 2019, probablemente para reconocimiento. De acuerdo a una publicación de blog por Sudhakar Ramakrishna, el recién nombrado presidente y director ejecutivo de SolarWinds, la versión de octubre de 2019 de Orion se modificó para que los atacantes pudieran probar su capacidad para insertar código en sus compilaciones. Los atacantes comenzaron a usar Sunspot para insertar Sunburst en las versiones de Orion, a partir del 20 de febrero de 2020 los atacantes posteriormente eliminaron Sunburst en junio del año pasado.

Meyers de CrowdStrike recomienda que las organizaciones «examinen detenidamente» sus entornos de creación de program, especialmente si envían código. «Vemos muchos actores de amenazas interesados ​​en apuntar a la cadena de suministro», dice. «La conciencia es clave».

Además de Sunspot y Sunburst, también existe el malware Teardrop, un cuentagotas basado en memoria que fue utilizado por los atacantes para ejecutar un servicio Cobalt Strike Beacon personalizado para los atacantes.

Turla Thread?
Mientras tanto, los investigadores de Kaspersky también encontraron varios puntos en común entre la puerta trasera Sunburst y una puerta trasera conocida llamada Kazuar, que fue detallada por primera vez por Palo Alto Networks en 2017 y utilizada para campañas de ciberespionaje por el grupo Turla. Turla es una amenaza persistente avanzada rusa también conocida con los nombres de Snake, Venomous Bear, Uroburos, Group 88 y Waterbug, y está asociada con el ciberespionaje.

Sunburst y Kazuar tienen cierta superposición de código, específicamente en el algoritmo de generación de UID de la víctima, el algoritmo de suspensión y el uso de hash FNV-1a, descubrió Kaspersky. Sin embargo, eso no prueba que sean del mismo grupo de ataque, pero el código podría estar relacionado de alguna manera o simplemente imitarlo. según Kaspersky.

«No comprendemos completamente todos los diferentes vectores o el alcance de este compromiso», dice Costin Raiu, director del equipo de análisis e investigación worldwide de Kaspersky. «Pero cualquier fragmento de información técnicamente conectada puede ayudar».

Aparte del vector de ataque SolarWinds, también hay hilos sin resolver de vectores de ataque iniciales adicionales, incluidas las credenciales robadas, según CISA, que está investigando otros métodos de ataque en la campaña. También está la alerta de diciembre de la NSA que advierte de una vulnerabilidad de día cero de VMware que hace que algunos investigadores, incluido Raiu de Kaspersky, se pregunten si podría estar relacionado de alguna manera con los ataques de SolarWinds, posiblemente como uno de los otros vectores de ataque inicial fuera de SolarWinds. computer software.

De cualquier manera, el ataque a la cadena de suministro a través de SolarWinds tiene las características de los estados-nación, incluida Rusia.

«Veo SolarWinds (el ataque) como un elemento muy normal de un ecosistema que ha existido» en el ciberespionaje durante algún tiempo, dice Gregory Rattray, cofundador y socio de Upcoming Peak y ex CISO global de JP Morgan Chase, quien también se desempeñó como director de ciberseguridad de la Casa Blanca durante la administración de George W. Bush.

Rattray, quien acuñó el término que ahora se united states comúnmente para los piratas informáticos del estado-nación, amenaza persistente avanzada o APT, mientras estaba en la Fuerza Aérea de EE. UU., Dice que el ataque SolarWinds es solo uno de los muchos compromisos similares de la cadena de suministro por parte de grupos sigilosos y sofisticados.

«Solo estamos viendo la punta del iceberg … Hay mucho más de esto».

Kelly Jackson Higgins es la editora ejecutiva de Dim Reading through. Es una periodista veterana de tecnología y negocios galardonada con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Network Computing, Protected Enterprise … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary