Más noticias de SolarWinds: Schneier sobre seguridad


Más noticias de SolarWinds

Microsoft detalles analizados del ataque SolarWinds:

Microsoft y FireEye solo detectaron Resplandor photo voltaic o Solorigate malware en diciembre, pero Crowdstrike informó este mes que otra pieza de malware relacionada, Sunspot, se implementó en septiembre de 2019, cuando los piratas informáticos violaron la pink interna de SolarWinds. Otro malware relacionado incluye Lágrima alias Gota de agua.

Detalles están en el site de Microsoft:

Hemos publicado nuestro análisis en profundidad de la Solorigate malware de puerta trasera (también conocido como SOL por FireEye), la DLL comprometida que se implementó en las redes como parte de los productos SolarWinds, que permitió a los atacantes obtener acceso por la puerta trasera a los dispositivos afectados. También hemos detallado el técnicas de manos en el teclado que los atacantes emplearon en puntos finales comprometidos utilizando una poderosa carga útil de segunda etapa, uno de varios cargadores personalizados de Cobalt Strike, incluido el cargador denominado LÁGRIMA por FireEye y una variante llamada Gota de agua por Symantec.

Un eslabón perdido en la compleja cadena de ataque de Solorigate es el traspaso de la puerta trasera de la DLL de Solorigate al cargador de Cobalt Strike. Nuestras investigaciones muestran que los atacantes hicieron todo lo posible para asegurarse de que estos dos componentes estén separados tanto como sea posible para evadir la detección. Este web site proporciona detalles sobre este traspaso en función de un número limitado de casos en los que se produjo este proceso. Para descubrir estos casos, utilizamos la potente óptica multidominio de Microsoft 365 Defender para obtener visibilidad en toda la cadena de ataque en una vista completa y consolidada.

Todo esto es importante, porque MalwareBytes fue penetrado a través Office environment 365, y no SolarWinds. Las nuevas estimaciones son que 30% de SolarWinds las víctimas no utilizaron SolarWinds:

Muchos de los ataques ganaron puntos de apoyo iniciales al pulverización de contraseña para comprometer cuentas de correo electrónico individuales en organizaciones específicas. Una vez que los atacantes tuvieron ese punto de apoyo inicial, utilizaron una variedad de complejos ataques de autenticación y escalada de privilegios para aprovechar las fallas en los servicios en la nube de Microsoft. Otro de los objetivos de State-of-the-art Persistent Danger (APT), la firma de seguridad CrowdStrike, dijo que el atacante intentó sin éxito leer su correo electrónico aprovechando una cuenta comprometida de un revendedor de Microsoft con el que la empresa había trabajado.

Sobre la atribución: a principios de este mes, el gobierno de EE. UU. fijado el ataque es «probablemente de origen ruso». Esto se hace eco de lo que el entonces secretario de Estado Mike Pompeo dijo en diciembre, y el El Correo de WashingtonS reportando (ambos de diciembre). (Los New York Periods tiene repetido esta atribución, un buen artículo que también analiza la magnitud del ataque). Más evidencia proviene de la ciencia forense de código, que lo vincula a Turla, otro actor de amenazas ruso.

Y por último, un largo ProPublica historia en una pieza no utilizada de tecnología desarrollada por el gobierno que podría haber detectado el ataque a la cadena de suministro mucho antes:

El sistema in-toto requiere que los proveedores de application tracen un mapa de su proceso para ensamblar el código de computadora que se enviará a los clientes, y registra lo que se hace en cada paso del camino. Luego verifica electrónicamente que ningún hacker haya insertado algo entre los pasos. Inmediatamente antes de la instalación, una herramienta preinstalada ejecuta automáticamente una verificación closing para asegurarse de que lo que el cliente recibió coincida con el producto last que el proveedor de software generó para la entrega, confirmando que no fue manipulado en tránsito.

No quiero exagerar demasiado esta defensa sin saber mucho más, pero me gusta el enfoque de verificar el proceso de compilación del software.

Publicado el 3 de febrero de 2021 a las 6:10 AM •
comentarios



Enlace a la noticia unique