Damián Digital

El ciberataque de SolarWinds: El hack, las víctimas, y lo que sabemos

La información se destila en un formato que esperamos explique el ataque, quiénes son sus víctimas, y lo que sabemos hasta ahora.

Desde que el ataque a la cadena de suministro de SolarWinds fue revelado el domingo pasado, ha habido un torbellino de noticias, detalles técnicos y análisis publicados sobre el hack.

Debido a que la cantidad de información que fue publicada en tan poco tiempo es definitivamente abrumadora, hemos publicado esto como un resumen de las noticias de esta semana de SolarWinds.

El ataque a la cadena de suministro de SolarWinds

Aunque nos enteramos del ataque de SolarWind el 13 de diciembre, la primera revelación de sus consecuencias se hizo el 8 de diciembre cuando la empresa líder en seguridad cibernética FireEye reveló que fue hackeada por un grupo de APT. Como parte de este ataque, los actores de la amenaza robaron las herramientas de evaluación del Equipo Rojo que FireEye utiliza para probar la seguridad de sus clientes.

No se supo cómo los hackers obtuvieron acceso a la red de FireEye hasta el domingo 13 de diciembre de 2020, cuando Microsoft, FireEye, SolarWinds y el gobierno de EE.UU. emitieron un informe coordinado que SolarWinds había sido hackeado por actores de amenazas patrocinados por el estado que se cree que forman parte de la S.V.R. rusa.

Uno de los clientes de SolarWinds que fue violado en este ataque es FireEye.

Como parte del ataque, los actores de la amenaza obtuvieron acceso al sistema de construcción de SolarWinds Orion y añadieron una puerta trasera al archivo DLL legítimo SolarWinds.Orion.Core.BusinessLayer.dll. Esta DLL fue distribuida a los clientes de SolarWinds en un ataque a la cadena de suministro a través de una plataforma de actualización automática utilizada para expulsar nuevas actualizaciones de software.

SolarWinds supply chain attack
Ataque a la cadena de suministro de SolarWinds

Esta puerta trasera DLL se conoce como SunBurst (FireEye) o Solarigate (Microsoft, y se carga con el programa SolarWinds.BusinessLayerHost.exe. Una vez cargado, se conectará de nuevo al servidor de control y comando remoto en un subdominio de avsvmcloud[.]com para recibir «trabajos», o tareas, para ejecutar en el ordenador infectado.

El nombre DNS del servidor de control y comando de la puerta trasera se crea utilizando un algoritmo de generación de dominio (DGA) para crear un subdominio codificado de avsvmcloud[.]com. FireEye afirma que el subdominio se crea «concatenando un userId de la víctima con una codificación reversible del nombre de dominio de la máquina local de la víctima», y luego se hace un hash. Por ejemplo, un subdominio utilizado en este ataque es ‘1btcr12b62me0buden60ceudo1uv2f0i.appsync-api.us-east-2[.]avsvmcloud.com’.

Se desconoce qué tareas se ejecutaron, pero podría ser cualquier cosa, desde dar acceso remoto a los actores de la amenaza, descargar e instalar más malware, o robar datos.

Microsoft publicó un artículo técnico el viernes para aquellos interesados en los aspectos técnicos del backdoor SunBurst.

Un informe de Kim Zetter publicado el viernes por la noche indica que los actores de la amenaza pueden haber realizado un simulacro del método de distribución ya en octubre de 2019. Durante este simulacro, el DLL fue distribuido sin la puerta trasera maliciosa de SunBurst.

LEER  Microsoft has acquired Github

Después de que los actores de la amenaza comenzaran a distribuir la puerta trasera en marzo de 2020, los investigadores creen que los atacantes han estado sentados en silencio en algunas de las redes comprometidas durante meses mientras cosechaban información o realizaban otras actividades maliciosas.

El informe de Zetter afirma que FireEye finalmente detectó que fueron hackeados después de que los actores de la amenaza registraran un dispositivo en el sistema de autenticación multifactorial (MFA) de la compañía usando credenciales robadas. Después de que el sistema alertó al empleado y al equipo de seguridad de este dispositivo desconocido, FireEye se dio cuenta de que habían sido comprometidos.

Los hackers detrás del ataque a SolarWinds

FireEye está actualmente rastreando al actor de la amenaza detrás de esta campaña como UNC2452, mientras que la empresa de seguridad cibernética con sede en Washington, Volexity, ha vinculado esta actividad a un actor de la amenaza que rastrea bajo el apodo de Dark Halo.

Volexity dice que los actores de Dark Halo han coordinado campañas maliciosas entre finales de 2019 y julio de 2020, apuntando y comprometiendo con éxito al mismo grupo de expertos con sede en los Estados Unidos tres veces seguidas.

«En el incidente inicial, Volexity encontró múltiples herramientas, puertas traseras e implantes de malware que habían permitido que el atacante permaneciera sin ser detectado durante varios años», dijo la compañía.

En el segundo ataque, después de haber sido expulsado de la red de la víctima, Dark Halo aprovechó un error del servidor Microsoft Exchange recientemente revelado que le ayudó a eludir las defensas de autenticación multifactorial Duo (MFA) para el acceso no autorizado al correo electrónico a través del servicio Outlook Web App (OWA).

Durante el tercer ataque dirigido al mismo grupo de expertos, el actor de la amenaza utilizó el ataque a la cadena de suministro de SolarWinds para desplegar la misma puerta trasera que Dark Halo utilizó para abrir una brecha en las redes de FireEye y en varias agencias del gobierno de los Estados Unidos.

Los informes de los medios no confirmados también han citado fuentes que vinculan los ataques con APT29 (alias Cozy Bear), un grupo de hackers patrocinado por el Estado y asociado con el Servicio de Inteligencia Exterior de Rusia (SVR).

Los investigadores, incluidos FireEye, Microsoft o Volexity, no han atribuido estos ataques al APT29 por el momento.

La embajada rusa en EE.UU. reaccionó [1, 2] a estos informes de los medios de comunicación diciendo que eran un «intento infundado de los medios de comunicación de EE.UU. para culpar a Rusia de los ataques de hackers a los organismos gubernamentales de EE.UU.».

«Rusia no lleva a cabo operaciones ofensivas en el dominio cibernético», añadió la Embajada.

LEER  Android supera a Windows como sistema operativo más utilizado en Internet

Mientras Rusia continúa negando estos ataques, el Secretario de Estado Mike Pompeo declaró en una entrevista publicada el viernes por la noche que está «bastante claro» que Rusia estaba detrás de ese ataque.

«Este fue un esfuerzo muy significativo, y creo que es el caso que ahora podemos decir con bastante claridad que fueron los rusos los que se involucraron en esta actividad», dijo Pompeo al presentador de radio Mark Levin.

Las víctimas del ataque

Los investigadores creen que la DLL maliciosa fue enviada a aproximadamente 18.000 clientes como parte de este ataque. Sin embargo, los agentes de la amenaza sólo se dirigieron a organizaciones que consideraban de «alto valor», de modo que aunque algunos de estos clientes pueden haber recibido la DLL, se desconoce si fueron objetivos activos en otros ataques.

La lista actualmente conocida de organizaciones que fueron afectadas por el ataque a la cadena de suministro de SolarWinds incluye:

  • FireEye
  • El Departamento del Tesoro de los Estados Unidos
  • Administración Nacional de Telecomunicaciones e Información de los Estados Unidos (NTIA)
  • El Departamento de Estado de los Estados Unidos
  • Los Institutos Nacionales de Salud (NIH) (parte del Departamento de Salud de los Estados Unidos)
  • El Departamento de Seguridad Nacional de los Estados Unidos (DHS)
  • El Departamento de Energía de los Estados Unidos (DOE)
  • La Administración Nacional de Seguridad Nuclear de los Estados Unidos (NNSA)
  • Algunos estados de EE.UU. (Algunos estados específicos no se han revelado)
  • Microsoft, empresa de Software
  • Cisco, empresa de redes

Microsoft también ha identificado y notificado a más de 40 de sus clientes afectados por este ataque, pero no ha revelado sus nombres. Afirman que el 80% de las víctimas eran de los EE.UU., y el 44% estaban en el sector de la tecnología de la información.

Sunburst victims by sector
Víctimas del SunBurst por sector

Basándose en la decodificación de los subdominios generados por el algoritmo de generación de dominios de malware (DGA), muchas empresas conocidas pueden revelar posteriormente ataques dirigidos.

Decoded backdoor command & control server subdomains
Subdominios de servidores de comando y control de puerta trasera decodificados
Fuente: Equipo RedDrip

¿Qué hacen las empresas de seguridad para proteger a las víctimas

Desde que el ciberataque ha sido revelado, las empresas de seguridad han estado agregando a sus detecciones los binarios maliciosos de puerta trasera SunBurst.

Aunque Microsoft ya estaba detectando y alertando a los clientes de los binarios maliciosos de SolarWinds, no los ponían en cuarentena por la preocupación de que pudieran afectar a los servicios de gestión de redes de una organización. El 16 de diciembre, a las 8:00 AM PST, Microsoft Defender comenzó a poner en cuarentena los binarios detectados, incluso si el proceso está en marcha.

Microsoft, FireEye y GoDaddy también colaboraron para crear un interruptor de muerte para el backdoor SunBurst distribuido en el hack de SolarWinds.

Cuando los binarios maliciosos intentan contactar con los servidores de comando y control, realizan una resolución DNS para obtener la dirección IP. Si esta dirección IP es parte de ciertos rangos de IP, incluyendo los que son propiedad de Microsoft, el backdoor terminará y evitará que se ejecute de nuevo.

LEER  AngelFire: El malware de la CIA infecta el sector de arranque del sistema para hackear las PC de Windows

Para crear el interruptor de anulación, GoDaddy creó una resolución DNS comodín para que cualquier subdominio de avsvmcloud[.]com se resuelva en la dirección IP 20.140.0.1, que pertenece a Microsoft y está en la lista de bloqueo del malware. Esta resolución comodín se ilustra con una búsqueda en el DNS de un subdominio inventado, como se muestra a continuación.

Wildcard DNS resolution
Resolución del DNS comodín

Como esta dirección IP es parte de la lista de bloqueo del malware, cuando se conecta a cualquier subdominio de avsvmcloud[.]com, se descarga y ya no se ejecuta.

Mientras que este interruptor de muerte desactivará los despliegues de puertas traseras de SunBurst que conectan los servidores de comando y control, FireEye ha declarado que los actores de la amenaza pueden haber desplegado otras puertas traseras.

«Sin embargo, en las intrusiones que FireEye ha visto, este actor se movió rápidamente para establecer mecanismos adicionales persistentes para acceder a las redes de víctimas más allá de la puerta trasera de SunBurst. Este interruptor asesino no eliminará al actor de las redes de víctimas donde han establecido otras puertas traseras. Sin embargo, dificultará que el actor aproveche las versiones distribuidas anteriormente de SunBurst», advirtió FireEye sobre el interruptor asesino», dijo FireEye a BleepingComputer en un comunicado.
Cómo comprobar si se ha visto comprometido

Si usted es un usuario de los productos de SolarWinds, debe consultar inmediatamente su asesoría y las Preguntas Frecuentes ya que contiene información necesaria sobre la actualización a la última versión ‘limpia’ de su software.

Microsoft también ha publicado una lista de diecinueve archivos DLL SolarWinds.Orion.Core.BusinessLayer.dll malignos que han sido descubiertos en la naturaleza.

Esta lista, que se muestra a continuación, contiene el hash SHA256 de un archivo, la versión del archivo y cuándo fue visto por primera vez.

SHA256Versión de archivoFecha en que se vio por primera vez
e0b9eda35f01c1540134aba9195e7e6393286dde3e001fce36fb661cc346b91d2020.2.100.11713Febrero 2020
a58d02465e26bdd3a839fd90e4b317eece431d28cab203bbdde569e11247d9e22020.2.100.11784Marzo 2020
32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c772019.4.5200.9083Marzo 2020
dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b2020.2.100.12219Marzo 2020 
eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed2020.2.100.11831Marzo 2020
c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77No disponibleMarzo 2020
ffdbdd460420972fd2926a7f460c198523480bc6279dd6cca177230db18748e8 2019.4.5200.9065 Marzo 2020
b8a05cc492f70ffa4adcd446b693d5aa2b71dc4fa2bf5022bf60d7b13884f6662019.4.5200.9068 Marzo 2020
20e35055113dac104d2bb02d4e7e33413fae0e5a426e0eea0dfd2c1dce692fd92019.4.5200.9078 Marzo 2020
0f5d7e6dfdd62c83eb096ba193b5ae394001bac036745495674156ead65575892019.4.5200.9078 Marzo 2020
cc082d21b9e880ceb6c96db1c48a0375aaf06a5f444cb0144b70e01dc69048e6 2019.4.5200.9083 Marzo 2020
ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c2020.4.100.478Abril 2020
019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b01342020.2.5200.12394Abril 2020
ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d62020.2.5300.12432Mayo 2020
2b3445e42d64c85a5475bdbc88a50ba8c013febb53ea97119a11604b7595e53d2019.4.5200.9078 Mayo 2020
92bd1c3d2a11fc4aba2735d9547bd0261560fb20f36a0e7ca2f2d451f1b626902020.4.100.751 Mayo 2020
a3efbc07068606ba1c19a7ef21f4de15d15b41ef680832d7bcba485143668f2dNo disponibleNo disponible
a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc2019.4.5200.8890Octubre 2019
d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af2019.4.5200.8890Octubre 2019

Por último, los investigadores de seguridad han publicado varias herramientas que permiten comprobar si se ha visto comprometida o qué credenciales estaban almacenadas en su instalación SolarWinds Orion.

El código fuente de ambos proyectos se publica en GitHub. Se recomienda encarecidamente revisar el código fuente, si está disponible, de cualquier programa que planee ejecutar en su red.

Fuente: https://www.bleepingcomputer.com/

Publicado por Damián Fossi

Hacker. Especialista en Tecnologías de Información y Seguridad Informática.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: