¿Alguien del Departamento de Comercio encontró una puerta trasera de SolarWinds en agosto de 2020? – Krebs sobre seguridad


El 13 de agosto de 2020, alguien cargó un archivo sospechoso malicioso en VirusTotal, un servicio que analiza los archivos enviados frente a más de cinco docenas de productos antivirus y de seguridad. El mes pasado, Microsoft y FireEye identificó ese archivo como una cuarta puerta trasera de malware recién descubierta utilizada en el extenso ataque a la cadena de suministro de SolarWinds. Un análisis del archivo malicioso y otros envíos del mismo usuario de VirusTotal sugiere que la cuenta que inicialmente marcó la puerta trasera como sospechosa pertenece al personal de TI en el Administración Nacional de Telecomunicaciones e Información (NTIA), una división de la Departamento de Comercio de EE. UU. que maneja la política de telecomunicaciones e World wide web.

Tanto Microsoft como FireEye publicaron entradas de web site el 4 de marzo sobre una nueva puerta trasera encontrada en objetivos de alto valor que fueron comprometidos por los atacantes de SolarWinds. FireEye se refiere a la puerta trasera como «Sunshuttle, «Mientras que Microsoft lo llama»GoldMax. » FireEye dice la puerta trasera Sunshuttle se llamó «Lexicon.exe, «Y tenía las firmas de archivo únicas o» hash «de»9466c865f7498a35e4e1a8f48ef1dffd«(MD5) y b9a2c986b6advertisement1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8 (SHA-1).

«En agosto de 2020, una entidad con sede en EE. UU. Cargó una nueva puerta trasera que llamamos SUNSHUTTLE a un repositorio público de malware», escribió FireEye.

La puerta trasera “Sunshuttle” o “GoldMax”, según la identificaron FireEye y Microsoft, respectivamente. Imagen: VirusTotal.com.

Una búsqueda en el repositorio de malware de VirusTotal muestra que el 13 de agosto de 2020 alguien cargó un archivo con el mismo nombre y hash de archivo. Los usuarios de Premium VirusTotal pueden ver otros archivos enviados por usuarios específicos, y varios de los enviados por el mismo usuario durante casi dos años incluyen mensajes y archivos enviados a direcciones de correo electrónico para personas que actualmente trabajan en el departamento de tecnología de la información de la NTIA.

Un correo electrónico aparentemente interno que se cargó en VirusTotal en febrero de 2020 por la misma cuenta que cargó el malware de puerta trasera Sunshuttle en VirusTotal en agosto de 2020.

La NTIA no respondió a las solicitudes de comentarios. Pero en diciembre de 2020, El periodico de Wall Avenue informó la NTIA se encontraba entre las múltiples agencias federales que tenían correos electrónicos y archivos saqueados por los atacantes de SolarWinds. «Los piratas informáticos irrumpieron en unas tres docenas de cuentas de correo electrónico desde junio en la NTIA, incluidas las cuentas que pertenecen al liderazgo exceptional de la agencia, según un funcionario estadounidense familiarizado con el asunto», escribió The Journal.

No está claro qué hizo, si es que hizo algo, el individual de TI de la NTIA en respuesta al escaneo del archivo de puerta trasera en agosto de 2020. Pero el mundo no se enteraría de la debacle de SolarWinds hasta principios de diciembre de 2020, cuando FireEye por primera vez reveló el alcance de su propio compromiso del malware SolarWinds y detalles publicados sobre las herramientas y técnicas utilizado por los perpetradores.

El ataque de SolarWinds implicó la inserción subrepticia de un código malicioso en las actualizaciones enviadas por SolarWinds para unos 18.000 usuarios de su Orión application de gestión de pink. A partir de marzo de 2020, los atacantes utilizaron el acceso proporcionado por el program SolarWinds comprometido para impulsar puertas traseras y herramientas adicionales a los objetivos cuando querían un acceso más profundo al correo electrónico y las comunicaciones de crimson.

Las agencias de inteligencia estadounidenses han atribuido el hack de SolarWinds a un brazo de la inteligencia estatal rusa conocido como el SVR, que también se determinó que estuvo involucrado en la piratería del Comité Nacional Demócrata hace seis años. El jueves, la Casa Blanca emitió sanciones largamente esperadas contra Rusia en respuesta al ataque SolarWinds y otras actividades cibernéticas maliciosas, imponiendo sanciones económicas contra 32 entidades e individuos por esfuerzos de desinformación y por llevar a cabo la interferencia del gobierno ruso en las elecciones presidenciales de 2020.

Departamento del Tesoro de EE. UU. (que también se vio afectado por un malware de segunda etapa que permitió a los atacantes de SolarWinds leer las comunicaciones por correo electrónico del Tesoro) publicó una lista completa de los destinatarios, incluidas seis empresas rusas por brindar apoyo a las actividades cibernéticas del servicio de inteligencia ruso.

También el jueves, el FBI, Agencia de Seguridad Nacional (NSA), y la Administración de seguridad de la infraestructura de ciberseguridad (CISA) emitido una asesoría conjunta en varias vulnerabilidades en productos de software package ampliamente utilizados que las mismas unidades de inteligencia rusas han estado atacando para promover sus exploits en el hack de SolarWinds. Entre ellos esta CVE-2020-4006, un agujero de seguridad en Acceso a VMWare Workspace 1 que VMware parcheó en diciembre de 2020 después de escucharlo de la NSA.

El 18 de diciembre, VMWare vio el precio de sus acciones inmersión 5,5 por ciento después de que KrebsOnSecurity publicara un informe que vinculaba la falla con los informes de la NSA sobre los ciberespías rusos detrás del ataque SolarWinds. En ese momento, VMWare estaba diciendo que había recibido «ninguna notificación o indicación de que CVE-2020-4006 se usó junto con el compromiso de la cadena de suministro de SolarWinds». Como resultado, varios lectores respondieron que hacer esta conexión era tenue, circunstancial y especulativo.

Pero el aviso conjunto deja en claro que los atacantes de SolarWinds utilizaron la falla de VMWare para promover sus exploits.

“Las actividades recientes de SVR de Rusia incluyen comprometer las actualizaciones del computer software SolarWinds Orion, enfocarse en las instalaciones de investigación de COVID-19 mediante la implementación del malware WellMess y aprovechar una vulnerabilidad de VMware que period un día cero en ese momento para el abuso de autenticación de Stability Assertion Markup Language (SAML) de seguimiento ,» la Aviso de la NSA (PDF) lee. «Los ciber actores de SVR también utilizaron tácticas de abuso de autenticación después de las infracciones basadas en SolarWinds».

Los funcionarios dentro de la administración Biden han dicho a los medios de comunicación que una parte de la respuesta de Estados Unidos al hack de SolarWinds no se discutirá públicamente. Pero a algunos expertos en seguridad les preocupa que los funcionarios de inteligencia rusos aún puedan tener acceso a las redes que ejecutan el software program SolarWinds con puerta trasera, y que los rusos puedan usar ese acceso para afectar una respuesta de purple destructiva o disruptiva propia. Los New York Times informes.

«Dentro de las agencias de inteligencia estadounidenses, ha habido advertencias de que el ataque SolarWinds, que permitió al SVR colocar &#39puertas traseras&#39 en las redes informáticas, podría dar a Rusia una vía para actividades maliciosas contra agencias gubernamentales y corporaciones», observó The Times.



Enlace a la noticia original