Lectura oscura | Seguridad | Proteja el negocio



Los miembros de un grupo de amenazas persistentes avanzadas (APT), disfrazados de empleados que trabajan a distancia con credenciales legítimas, accedieron a la crimson de una organización de EE. UU. Y colocaron una puerta trasera llamada Supernova en su servidor SolarWinds Orion para realizar reconocimiento, mapeo de dominios y robo de datos.

Los atacantes tuvieron acceso a la crimson durante casi un año, desde marzo de 2020 hasta febrero de 2021, antes de que fueran descubiertos y bloqueados, dijo el jueves la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional en un informe que resume los hallazgos de su investigación. en el incidente.

El informe es el último que involucra a SolarWinds y su tecnología de servidor de administración de red Orion. Sin embargo, la herramienta Supernova y el grupo APT que la respalda están separados del grupo que utilizó actualizaciones legítimas del computer software Orion para distribuir el malware denominado Sunburst a 18.000 organizaciones en todo el mundo. La semana pasada, el gobierno de EE. UU. Atribuyó formalmente ese ataque ampliamente divulgado, descrito por muchos como uno de los más sofisticados de la historia, al Servicio de Inteligencia Exterior de Rusia, SVR.

CISA informe de análisis de malware, que incluye indicadores de compromiso y recomendaciones de mitigación, no atribuyó el ataque de Supernova a ningún grupo o país específico. Sin embargo, otros como Secureworks que han investigado intrusiones similares últimamente han atribuido a Supernova y sus operadores a Spiral, un grupo de amenazas con sede en China que se cree. Se sabe que solo un pequeño puñado de organizaciones se han infectado con Supernova, al menos hasta ahora.

En su informe, CISA explain que el incidente probablemente comenzó en marzo pasado cuando los atacantes se conectaron a la crimson de la entidad estadounidense no identificada a través de un dispositivo de purple privada digital (VPN) Pulse Safe. La investigación de CISA mostró que los atacantes utilizaron tres direcciones IP residenciales para acceder al dispositivo VPN. Se autenticaron utilizando cuentas de usuario válidas, ninguna de las cuales estaba protegida por autenticación multifactor. CISA dijo que no ha podido determinar cómo los atacantes obtuvieron las credenciales. El acceso a la VPN permitió a los atacantes hacerse pasar por empleados remotos legítimos de la organización.

Una vez que los atacantes obtuvieron acceso inicial a la pink de la víctima, se trasladaron lateralmente al servidor SolarWinds Orion e instalaron Supernova, un shell world-wide-web .Internet, en él. Como fue el caso con un puñado de otras infracciones que involucran a Supernova, los atacantes parecen haber aprovechado una falla de autenticación por desvío (CVE-2020-10148) en la API de SolarWinds Orion para ejecutar un script de PowerShell para ejecutar el shell internet.

«CISA cree que el actor de amenazas aprovechó CVE-2020-10148 para omitir la autenticación del dispositivo SolarWinds y luego usó la API de SolarWinds Orion para ejecutar comandos con los mismos privilegios que el dispositivo SolarWinds estaba ejecutando (en este caso Program)», explicó CISA.

A diferencia de la puerta trasera Sunburst asociada con la campaña de Rusia, los atacantes no integraron Supernova en la tecnología Orion. En cambio, instalaron el malware en servidores que ejecutan Orion explotando CVE-2020-10148. Una vez instalado, los atacantes utilizaron el shell web para descargar las credenciales del servidor SolarWinds. Semanas después, el adversario volvió a conectarse a través del dispositivo VPN e intentó usar las credenciales robadas para acceder a una estación de trabajo adicional. En otra ocasión, el actor de amenazas utilizó Home windows Management Instrumentation y otras utilidades legítimas para recopilar información sobre el proceso en ejecución para recopilar, archivar y exfiltrar datos.

Consistente con otros ataques
Don Smith, director senior de la unidad de contraamenazas de Secureworks, dice que el tiempo, las herramientas, las tácticas y los procedimientos que describió CISA esta semana son consistentes con los hallazgos de la propia compañía de su investigación de dos intrusiones en la ubicación de un cliente.

El informe corrobora «nuestra evaluación de que las dos intrusiones a las que respondimos en la misma organización fueron perpetradas por el mismo actor de amenazas ((Spiral, también conocida como Bronze Spiral)», dice Smith.

Esos TTP incluían el acceso inicial a través de la explotación de sistemas vulnerables de Online, dice. También incluye «implementación del shell Web de Supernova, robo de credenciales, acceso continuo a través de servicios VPN usando credenciales legítimas, implementación de otras herramientas renombradas para disfrazar su función y el uso de infraestructura comprometida para comando y command», dice Smith.

La campaña Supernova fue muy específica y parece haber afectado solo a un número muy reducido de organizaciones. Sin embargo, sí sirve como un ejemplo de cómo los adversarios buscan constantemente explotar vulnerabilidades que pueden explotar para el acceso inicial. Una vez establecidas en una pink, tales amenazas pueden ser difíciles de eliminar, señala Smith.

«También debemos recordar que otras amenazas más oportunistas, como los operadores de ransomware, no tardan en aprovechar los exploits una vez que se hacen públicos y buscan usarlos para su propio beneficio, momento en el que cualquier organización es un objetivo potencial», agregó. dice.



Enlace a la noticia initial