Lo que sabemos (y no sabemos) hasta ahora sobre el …



Una mirada al segundo ataque esquivo dirigido al application SolarWinds que los investigadores de Secureworks citaron recientemente como obra de piratas informáticos de los estados nacionales chinos.

En su mayoría, se ha visto ensombrecido por la violación masiva y descarada de la cadena de suministro del proceso de construcción del computer software SolarWinds Orion el ciberataque de Supernova, menos conocido, también sigue siendo un misterio. Los detalles sobre el alcance y las víctimas de Supernova, que explotó una falla en el software program de administración de crimson Orion de SolarWinds, hasta ahora han sido escasos.

Se sabe que menos de un puñado de víctimas han sido atacadas, y una investigación sobre la violación de una de esas víctimas llevó a los investigadores de Secureworks a vincular los ataques de Supernova a un grupo de estado-nación chino previamente desconocido al que llamaron «Espiral».

Supernova salió a la luz por primera vez durante la investigación de FireEye sobre el ataque de actualización de software package de Orion (también conocido como Sunburst, Solorigate) en diciembre, y al principio se creyó erróneamente que period parte de la campaña de ataque a la cadena de suministro. Microsoft poco después revelado que Supernova de hecho no era parte del ataque a la cadena de suministro.

Es probable que sea una coincidencia que dos estados-nación separados apunten al mismo program, aunque de formas muy diferentes, dicen los expertos. «Creo que es una coincidencia» que tanto las amenazas avanzadas persistentes (APT) chinas como las rusas apuntaron al software SolarWinds en sus ataques, señala Mike McLellan, director de inteligencia de Secureworks. Y el descubrimiento de alto perfil del ataque de Rusia puede haber «quemado» la operación paralela de China también por ahora, dice.

Eso podría explicar la escasez de actividad adicional informada por los investigadores de Supernova: los atacantes pueden haber detenido el ataque de Orion y buscar otras formas de apuntar y espiar silenciosamente a sus víctimas.

No es inusual que varios grupos de atacantes de estados-nación se dirijan a la misma organización víctima, ni siquiera que residan simultáneamente y sin el conocimiento de los demás mientras realizan sus operaciones de recopilación de inteligencia. Pero Supernova y el ataque a la cadena de suministro de Orion demuestran cómo los estados-nación también pueden tener concepts similares pero métodos diferentes con respecto a cómo apuntan y, en última instancia, se esconden en las redes de sus víctimas.

Supernova se centró en Orion de SolarWinds explotando una falla en el software que se ejecuta en el servidor de la víctima Sunburst lo hizo insertando código malicioso en compilaciones para versiones de la plataforma de administración de crimson Orion. Las compilaciones firmadas digitalmente luego se enviaron automáticamente a unas 18,000 agencias y empresas federales el año pasado a través de un proceso de actualización de software package de rutina, pero los atacantes finalmente apuntaron a muchas menos víctimas que las que recibieron la actualización de software package malicioso, con menos de 10 agencias federales afectadas también. como algunos 40 de los propios clientes de Microsoft. Las agencias de inteligencia de Estados Unidos han atribuido ese ataque a un grupo de estado-nación ruso, y se desconocen muchos detalles del ataque.

Supernova adoptó un enfoque más tradicional, pero sigiloso, para aprovechar las lucrativas funciones de rastreo y mapeo de Orion de la pink de una víctima. «Supernova buscaba SolarWinds en la purple (de la víctima) y los comprometía desde allí», explica McLellan de Secureworks.

«La actividad rusa proviene de la crimson SolarWinds», dice sobre el ataque a la cadena de suministro con Sunburst. «Esa es la diferencia clave».

Ben Study, director de análisis de FireEye Mandiant Risk Intelligence, está de acuerdo en que los dos ataques fueron separados y no relacionados, con diferentes víctimas. «No tenemos indicios de que una operación supiera de la otra», dice. La adopción generalizada del computer software Orion bien puede haberlo convertido en un «objetivo convincente» para que múltiples agencias de inteligencia estatales lo utilicen en sus ataques, dice.

Microsoft renombró recientemente el ataque a la cadena de suministro y los atacantes detrás de él como Nobelio.

Los objetivos
Reuters primero informó sobre un nexo de China para el ataque de Supernova a principios de febrero, identificando al Centro Nacional de Finanzas (NFC) del Departamento de Agricultura de Estados Unidos (USDA) como un objetivo de los atacantes de Supernova. Pero el USDA impugnó el informe de que se había violado la NFC.

Cuando Dark Looking through se puso en contacto con él sobre el ataque de Supernova, el USDA reiteró que «no tenía pruebas» de que NFC sufriera una violación de datos, pero aún estaba investigando.

«De conformidad con la directiva de emergencia (de la Agencia de Seguridad de Infraestructura y Ciberseguridad) y para proteger los sistemas del USDA, el USDA notificó a los clientes en diciembre que había eliminado los productos SolarWinds Orion de sus redes debido al compromiso de SolarWinds. Mientras seguimos investigándolo , no tenemos evidencia de una violación de datos del Centro Nacional de Finanzas del USDA «, dijo la agencia en un comunicado en respuesta a las consultas de Dark Reading.

La agencia no proporcionó más detalles, por lo que no está claro exactamente si la implementación de Orion de la agencia se vio afectada o cómo se vio afectada.

La víctima de Supernova que investigó Secureworks era una organización del sector privado en Estados Unidos, según la firma de seguridad. «Estamos limitados en lo que podemos decir sobre la víctima», dice McLellan de Secureworks. «El robo de información period el objetivo: información relacionada con sus clientes, los clientes».

Mientras tanto, SolarWinds dice que sabe de una víctima del ataque Supernova, según un portavoz de la compañía. «Esa infracción permitió a los atacantes agregar el código malicioso de Supernova al software package Orion en la crimson del cliente», dice el portavoz, señalando que la falla desde entonces ha sido reparada. «Supernova no fue firmado ni entregado por SolarWinds, y el problema se solucionó en las actualizaciones de la plataforma Orion que se lanzaron en diciembre».

SolarWinds no reveló ningún detalle adicional sobre la víctima.

Cómo funciona
Supernova contiene dos componentes de malware: un shell internet, un archivo .dll de Home windows sin firmar diseñado para aparecer como código legítimo en Orion (app_world-wide-web_logoimagehandler.ashx.b6031896.dll) y un exploit que abusó de la falla de omisión de autenticación de API previamente desconocida (CVE-2020-10148) que se utilizó para ejecutar el shell net.

El vuln ahora parcheado permite que un atacante ejecute comandos sin autenticarse en la API los atacantes de Supernova lo utilizaron para instalar el shell internet en el software Orion de las víctimas que se ejecuta en sus servidores internos.

Secureworks encontró un vínculo entre Supernova y un ataque anterior a uno de sus clientes, que detalló en un entrada en el blog a principios de este mes.

El equipo de Spiral aprovechó la falla de autenticación de API en Orion para colocar el shell World wide web de Supernova en el servidor SolarWinds interno de la víctima, de modo que luego pudiera ejecutar de forma remota sus propios comandos en el servidor. Luego se movió lateralmente a dos hosts: un controlador de dominio para recolectar credenciales, según Secureworks, y luego un servidor que brindaba acceso a información confidencial sobre la empresa. Los atacantes parecían conocer el diseño de la crimson, dada la velocidad y el objetivo de los servidores Los equipos de respuesta a incidentes de Secureworks frustraron una mayor infiltración de la red.

«Hubo actividad maliciosa en el servidor SolarWinds en la red de este cliente», que Secureworks descubrió que había explotado una vulnerabilidad de derivación de API, dice Marc Burnard, investigador senior de seguridad de la información de Secureworks.

«Usaron ese vuln para colocar el shell Net de Supernova en el servidor SolarWinds y comenzaron a interactuar con él para ejecutar comandos en el servidor».

Luego se trasladaron lateralmente a un controlador de dominio para robar credenciales y otro servidor que podría haberles dado acceso a los datos del cliente, dice.

La organización víctima había sufrido un ataque a principios de 2020 con algunas características similares, según Secureworks: los atacantes explotaron uno de los servidores ManageEngine ServiceDesk de cara al público de la organización, obteniendo silenciosamente credenciales de dominio durante un período de casi dos años, y luego en agosto de 2020. , robando credenciales de dos de los servidores de las víctimas para robar archivos de sus aplicaciones en la nube Office 365 SharePoint y OneDrive.

Secureworks hizo coincidir los dos ataques con el mismo actor de amenaza debido a las técnicas similares involucradas: los atacantes utilizaron los mismos comandos y rutas de archivo de salida en el Servicio de subsistema de autoridad de seguridad neighborhood de Microsoft Home windows (LSASS), el mismo nombre de directorio y un controlador de dominio y un servidor para acceder a información empresarial valiosa. Y se utilizaron tres cuentas de administrador comprometidas en ambos ataques.

Wes Riley, operaciones de respuesta a incidentes y líder técnico de GuidePoint Safety, analizó recientemente el shell World-wide-web de Supernova. Riley dice que aunque el código de Supernova no era especialmente sofisticado, period «elegante». El shell net reside en la memoria y los atacantes utilizaron una API existente para configurar su acceso a la recopilación de información.

El shell world-wide-web de Supernova se hace pasar por un servicio web de SolarWinds y muestra la imagen del logotipo de Orion. «El propósito del archivo es simplemente tomar una imagen … sacar el brand de SolarWinds (Orion) y presentarlo», explica. «Otras páginas net en esa interfaz de usuario world wide web llamarán a ese archivo y tomarán la imagen». Colocar el código malicioso allí fue elegante y sigiloso, dice.

Riley no considera la vulnerabilidad de la API de SolarWinds que los atacantes explotaron como un verdadero error de día cero. «Es un área gris», dice. Los atacantes básicamente abusaron de una función del program y de su interfaz de programación de aplicaciones. «Encontraron una ubicación en el program donde una página orientada hacia adelante llamará a una función», dice.

porcelana
Los investigadores de Secureworks dicen que, aparte de las características similares de Supernova con otros actores estatales fuera de China, pudieron vincular los dos ataques a su cliente con China a través de un pequeño pero significativo paso en falso que cometieron los atacantes: exponer una dirección IP. «Un agente de detección y respuesta de terminales de Secureworks (EDR) se registró desde un host que no pertenecía a la organización comprometida y utilizó una dirección IP geolocalizada en China», según los hallazgos de Secureworks.

Riley, de GuidePoint, dice que el uso de Supernova de un shell world-wide-web suena a una operación de estado-nación chino. Dice que le recuerda la forma en que opera el grupo APT llamado Shellcrew (también conocido como Deep Panda), pero no tenía conocimiento de primera mano de los atacantes ni se centró en la atribución en su análisis.

«Las únicas similitudes que vi con otros grupos de ataque que he visto o con los que he tratado es más en el enfoque», señala Riley. Shellcrew, por ejemplo, «es realmente experto en» plantar código malicioso a lo largo de la ruta de llamada de grandes aplicaciones net, dice.

Charity Wright, analista de inteligencia de amenazas cibernéticas de RecordedFuture que se especializa en China, dice que ella y su equipo sospecharon cuando China básicamente «se mantuvo al margen» de las operaciones de intromisión electoral en contra durante la campaña presidencial estadounidense de 2020 los investigadores calcularon que los equipos de piratería de los estados-nación chinos «estaban preparando algo grande». Resulta que estaban, dice, apuntando a los ataques de día cero generalizados de Microsoft Exchange Server y a Supernova recientemente revelados, aunque Wright dice que RecordedFuture no pudo confirmar directamente que Supernova provenía de China.

Hasta ahora, Secureworks es el único equipo que ha mencionado públicamente a China en los ataques. «Si bien no podemos verificar de forma independiente la actividad observada por Secureworks en sus compromisos, esta no sería la primera vez que un atacante da un paso en falso e inadvertidamente da la mano», dice J.A. Guerrero-Saade, investigador principal de amenazas de SentinelOne, del descubrimiento de Secureworks. «Independientemente, la atribución basada enteramente en indicadores cibernéticos es notoriamente fungible y debe manejarse con precaución».

¿Un regreso en espiral?
Se sabe que los estados-nación dejan las herramientas de monitoreo en su lugar para el reingreso, dice McLellan de Secureworks, o para reagruparse y regresar con un exploit diferente si son descubiertos. «Imaginamos que este grupo puede reaparecer. Han existido desde 2018 esperamos que regresen con alguna otra forma de acceder».

Kelly Jackson Higgins es la editora ejecutiva de Darkish Looking at. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Community Computing, Protected Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique