Por qué SolarWinds-SUNBURST es una llamada de atención


El 13 de diciembre de 2020, FireEye anunciado que los actores de la amenaza habían comprometido el software program de gestión y supervisión de TI Orion de SolarWinds y lo habían utilizado para distribuir una puerta trasera de software program a decenas de clientes de esa empresa, incluidas varias agencias gubernamentales estadounidenses de alto perfil.

Vector de ataque de cambio de juego

Esta campaña es el primer gran ataque de este tipo a la cadena de suministro a gran escala y representa un cambio de táctica en el que un estado nacional ha empleado una nueva arma para el ciberespionaje. Así como el uso de armas nucleares al closing de la Segunda Guerra Mundial cambió la estrategia militar durante los próximos 75 años, el uso de un ataque a la cadena de suministro cambiará la forma en que debemos considerar la defensa contra los ciberataques.

Este ataque a la cadena de suministro operó a la escala de un gusano como WannaCry en 2017, combinado con la precisión y la letalidad de los ataques de Sony Pictures de 2014 o de la Oficina de Administración de Private (OPM) de EE. UU. De 2015.

El impacto de este ataque muestra cómo un producto de software program comercial de alto volumen puede afectar a muchas organizaciones simultáneamente. En el pasado, los ciberataques como WannaCry se basaban en vulnerabilidades, explotando organizaciones que no pudieron instalar parches críticos. En el caso de SolarWinds-SUNBURST, cualquier organización que simplemente actualice su software program podría ser vulnerable a los ataques, por lo que vimos el impacto en múltiples agencias del gobierno federal y el sector privado. Además, la puerta trasera utilizó tácticas de sigilo para monitorear si se estaba analizando buscando la presencia de depuradores y monitores de pink y suprimiendo las comunicaciones y alertas de otros comportamientos maliciosos en esos escenarios.

Amplio alcance e impacto

Desde la perspectiva de la seguridad nacional de Estados Unidos, este ataque permite a los enemigos de la nación robar todo tipo de información, desde comunicaciones intergubernamentales hasta secretos nacionales. Los atacantes pueden, a su vez, aprovechar esta información para influir o afectar la política de EE. UU. A través de filtraciones maliciosas.

El ataque también afectó a empresas privadas. A diferencia de las redes gubernamentales que aíslan la información clasificada tanto de Net como del material no clasificado, las organizaciones privadas a menudo tienen propiedad intelectual crítica en la misma crimson de acceso a Internet en la que almacenan información no confidencial. Será difícil determinar exactamente qué propiedad intelectual corporativa o datos privados de los empleados se han robado, y es posible que nunca se sepa por completo el alcance full del robo.

Estos ataques cibernéticos a la cadena de suministro también preocupan a los consumidores. En los hogares altamente interconectados de hoy en día, una infracción de las empresas de electrónica de consumo puede provocar que los atacantes utilicen su acceso a dispositivos inteligentes como televisores, asistentes virtuales y teléfonos inteligentes para robar su información o actuar como una puerta de entrada para atacar empresas mientras los usuarios trabajan de forma remota desde casa.

Posibilidades infinitas para los atacantes

Lo que hace que esta campaña sea tan insidiosa es que los atacantes utilizaron el application SolarWinds confiable para infiltrarse en las organizaciones víctimas con la puerta trasera SUNBURST, que luego permitió al atacante tomar una serie de pasos secundarios. Esto podría implicar el robo de datos, la destrucción de datos, la retención de sistemas críticos para el rescate, la organización de fallas en el sistema que podrían resultar en daños cinéticos o simplemente la implantación de contenido malicioso adicional en toda la organización para mantener el handle y mantener el acceso incluso después de que la amenaza inicial parece haber pasado. .

Fomenta el comportamiento incorrecto

Un ataque de este tipo es particularmente desafiante porque genera preocupaciones sobre las mejores prácticas que los profesionales de la ciberseguridad han estado tratando de comunicarse durante años. Durante décadas, hemos dicho que es essential parchear y mantener actualizado el software program. En este caso, sin embargo, fue parchear y traer nuevo software program a un entorno que abrió a las organizaciones al ataque.

Las organizaciones no deben leer estas revelaciones de SolarWinds-SUNBURST de que no deben priorizar el mantenimiento de sus entornos actualizados. Hacerlo ciertamente los expondría a una variedad de otros ataques.

¿Cómo reconciliamos estos dos puntos de vista de seguridad en conflicto? Las organizaciones y los profesionales de la ciberseguridad deben estar atentos en su revisión y comprensión del software que se lleva a sus entornos. Además, deben identificar su información y datos más críticos y aplicar los principios de privilegio mínimo a estos elementos, asegurando que la información wise como los secretos nacionales y la propiedad intelectual estén protegidas.

Víctimas encadenadas amplifican el impacto

Un área adicional de preocupación es cuando los proveedores de program se ven afectados. En este escenario, es posible que haya un efecto en cadena. El adversario podría modificar el código fuente o una cadena de herramientas de desarrollo dentro del entorno de la víctima para plantar puertas traseras adicionales que luego se distribuyen a sus clientes.

Conclusión y más información

La campaña SolarWinds-SUNBURST es como una «bomba inteligente» en un paisaje abarrotado de amenazas cibernéticas de «bombas tontas». WannaCry fue una bomba tonta en el sentido de que period completamente autónomo e indiscriminado en lo que atacaba. Considerando que este ataque SolarWinds-SUNBURST es un arma cibernética inteligente «guiada con precisión» que se está utilizando para atacar organizaciones específicas de formas muy específicas. Cada organización que sea de interés para el atacante puede ser atacada de forma ligeramente diferente.

McAfee ha incorporado indicadores técnicos obtenidos de los incidentes de FireEye y SolarWinds en nuestra cartera de soluciones y defensas cibernéticas para proteger nuestro medio ambiente y nuestros clientes. Los detalles de estas protecciones complementarias se pueden encontrar en los artículos de la foundation de conocimientos (KB) de McAfee. KB89830 y KB93861.

Consulte también los siguientes weblogs de análisis centrados en SolarWinds-SUNBURST:





Enlace a la noticia unique