El ciberataque de SolarWinds: El hack, las víctimas, y lo que sabemos
La información se destila en un formato que esperamos explique el ataque, quiénes son sus víctimas, y lo que sabemos hasta ahora.
Desde que el ataque a la cadena de suministro de SolarWinds fue revelado el domingo pasado, ha habido un torbellino de noticias, detalles técnicos y análisis publicados sobre el hack.
Debido a que la cantidad de información que fue publicada en tan poco tiempo es definitivamente abrumadora, hemos publicado esto como un resumen de las noticias de esta semana de SolarWinds.
El ataque a la cadena de suministro de SolarWinds
Aunque nos enteramos del ataque de SolarWind el 13 de diciembre, la primera revelación de sus consecuencias se hizo el 8 de diciembre cuando la empresa líder en seguridad cibernética FireEye reveló que fue hackeada por un grupo de APT. Como parte de este ataque, los actores de la amenaza robaron las herramientas de evaluación del Equipo Rojo que FireEye utiliza para probar la seguridad de sus clientes.
No se supo cómo los hackers obtuvieron acceso a la red de FireEye hasta el domingo 13 de diciembre de 2020, cuando Microsoft, FireEye, SolarWinds y el gobierno de EE.UU. emitieron un informe coordinado que SolarWinds había sido hackeado por actores de amenazas patrocinados por el estado que se cree que forman parte de la S.V.R. rusa.
Uno de los clientes de SolarWinds que fue violado en este ataque es FireEye.
Como parte del ataque, los actores de la amenaza obtuvieron acceso al sistema de construcción de SolarWinds Orion y añadieron una puerta trasera al archivo DLL legítimo SolarWinds.Orion.Core.BusinessLayer.dll. Esta DLL fue distribuida a los clientes de SolarWinds en un ataque a la cadena de suministro a través de una plataforma de actualización automática utilizada para expulsar nuevas actualizaciones de software.

Esta puerta trasera DLL se conoce como SunBurst (FireEye) o Solarigate (Microsoft, y se carga con el programa SolarWinds.BusinessLayerHost.exe. Una vez cargado, se conectará de nuevo al servidor de control y comando remoto en un subdominio de avsvmcloud[.]com para recibir «trabajos», o tareas, para ejecutar en el ordenador infectado.
El nombre DNS del servidor de control y comando de la puerta trasera se crea utilizando un algoritmo de generación de dominio (DGA) para crear un subdominio codificado de avsvmcloud[.]com. FireEye afirma que el subdominio se crea «concatenando un userId de la víctima con una codificación reversible del nombre de dominio de la máquina local de la víctima», y luego se hace un hash. Por ejemplo, un subdominio utilizado en este ataque es ‘1btcr12b62me0buden60ceudo1uv2f0i.appsync-api.us-east-2[.]avsvmcloud.com’.
Se desconoce qué tareas se ejecutaron, pero podría ser cualquier cosa, desde dar acceso remoto a los actores de la amenaza, descargar e instalar más malware, o robar datos.
Microsoft publicó un artículo técnico el viernes para aquellos interesados en los aspectos técnicos del backdoor SunBurst.
Un informe de Kim Zetter publicado el viernes por la noche indica que los actores de la amenaza pueden haber realizado un simulacro del método de distribución ya en octubre de 2019. Durante este simulacro, el DLL fue distribuido sin la puerta trasera maliciosa de SunBurst.
Después de que los actores de la amenaza comenzaran a distribuir la puerta trasera en marzo de 2020, los investigadores creen que los atacantes han estado sentados en silencio en algunas de las redes comprometidas durante meses mientras cosechaban información o realizaban otras actividades maliciosas.
El informe de Zetter afirma que FireEye finalmente detectó que fueron hackeados después de que los actores de la amenaza registraran un dispositivo en el sistema de autenticación multifactorial (MFA) de la compañía usando credenciales robadas. Después de que el sistema alertó al empleado y al equipo de seguridad de este dispositivo desconocido, FireEye se dio cuenta de que habían sido comprometidos.
Los hackers detrás del ataque a SolarWinds
FireEye está actualmente rastreando al actor de la amenaza detrás de esta campaña como UNC2452, mientras que la empresa de seguridad cibernética con sede en Washington, Volexity, ha vinculado esta actividad a un actor de la amenaza que rastrea bajo el apodo de Dark Halo.
Volexity dice que los actores de Dark Halo han coordinado campañas maliciosas entre finales de 2019 y julio de 2020, apuntando y comprometiendo con éxito al mismo grupo de expertos con sede en los Estados Unidos tres veces seguidas.
«En el incidente inicial, Volexity encontró múltiples herramientas, puertas traseras e implantes de malware que habían permitido que el atacante permaneciera sin ser detectado durante varios años», dijo la compañía.
En el segundo ataque, después de haber sido expulsado de la red de la víctima, Dark Halo aprovechó un error del servidor Microsoft Exchange recientemente revelado que le ayudó a eludir las defensas de autenticación multifactorial Duo (MFA) para el acceso no autorizado al correo electrónico a través del servicio Outlook Web App (OWA).
Durante el tercer ataque dirigido al mismo grupo de expertos, el actor de la amenaza utilizó el ataque a la cadena de suministro de SolarWinds para desplegar la misma puerta trasera que Dark Halo utilizó para abrir una brecha en las redes de FireEye y en varias agencias del gobierno de los Estados Unidos.
Los informes de los medios no confirmados también han citado fuentes que vinculan los ataques con APT29 (alias Cozy Bear), un grupo de hackers patrocinado por el Estado y asociado con el Servicio de Inteligencia Exterior de Rusia (SVR).
Los investigadores, incluidos FireEye, Microsoft o Volexity, no han atribuido estos ataques al APT29 por el momento.
La embajada rusa en EE.UU. reaccionó [1, 2] a estos informes de los medios de comunicación diciendo que eran un «intento infundado de los medios de comunicación de EE.UU. para culpar a Rusia de los ataques de hackers a los organismos gubernamentales de EE.UU.».
«Rusia no lleva a cabo operaciones ofensivas en el dominio cibernético», añadió la Embajada.
Mientras Rusia continúa negando estos ataques, el Secretario de Estado Mike Pompeo declaró en una entrevista publicada el viernes por la noche que está «bastante claro» que Rusia estaba detrás de ese ataque.
«Este fue un esfuerzo muy significativo, y creo que es el caso que ahora podemos decir con bastante claridad que fueron los rusos los que se involucraron en esta actividad», dijo Pompeo al presentador de radio Mark Levin.
Las víctimas del ataque
Los investigadores creen que la DLL maliciosa fue enviada a aproximadamente 18.000 clientes como parte de este ataque. Sin embargo, los agentes de la amenaza sólo se dirigieron a organizaciones que consideraban de «alto valor», de modo que aunque algunos de estos clientes pueden haber recibido la DLL, se desconoce si fueron objetivos activos en otros ataques.
La lista actualmente conocida de organizaciones que fueron afectadas por el ataque a la cadena de suministro de SolarWinds incluye:
- FireEye
- El Departamento del Tesoro de los Estados Unidos
- Administración Nacional de Telecomunicaciones e Información de los Estados Unidos (NTIA)
- El Departamento de Estado de los Estados Unidos
- Los Institutos Nacionales de Salud (NIH) (parte del Departamento de Salud de los Estados Unidos)
- El Departamento de Seguridad Nacional de los Estados Unidos (DHS)
- El Departamento de Energía de los Estados Unidos (DOE)
- La Administración Nacional de Seguridad Nuclear de los Estados Unidos (NNSA)
- Algunos estados de EE.UU. (Algunos estados específicos no se han revelado)
- Microsoft, empresa de Software
- Cisco, empresa de redes
Microsoft también ha identificado y notificado a más de 40 de sus clientes afectados por este ataque, pero no ha revelado sus nombres. Afirman que el 80% de las víctimas eran de los EE.UU., y el 44% estaban en el sector de la tecnología de la información.

Basándose en la decodificación de los subdominios generados por el algoritmo de generación de dominios de malware (DGA), muchas empresas conocidas pueden revelar posteriormente ataques dirigidos.

Fuente: Equipo RedDrip
¿Qué hacen las empresas de seguridad para proteger a las víctimas
Desde que el ciberataque ha sido revelado, las empresas de seguridad han estado agregando a sus detecciones los binarios maliciosos de puerta trasera SunBurst.
Aunque Microsoft ya estaba detectando y alertando a los clientes de los binarios maliciosos de SolarWinds, no los ponían en cuarentena por la preocupación de que pudieran afectar a los servicios de gestión de redes de una organización. El 16 de diciembre, a las 8:00 AM PST, Microsoft Defender comenzó a poner en cuarentena los binarios detectados, incluso si el proceso está en marcha.
Microsoft, FireEye y GoDaddy también colaboraron para crear un interruptor de muerte para el backdoor SunBurst distribuido en el hack de SolarWinds.
Cuando los binarios maliciosos intentan contactar con los servidores de comando y control, realizan una resolución DNS para obtener la dirección IP. Si esta dirección IP es parte de ciertos rangos de IP, incluyendo los que son propiedad de Microsoft, el backdoor terminará y evitará que se ejecute de nuevo.
Para crear el interruptor de anulación, GoDaddy creó una resolución DNS comodín para que cualquier subdominio de avsvmcloud[.]com se resuelva en la dirección IP 20.140.0.1, que pertenece a Microsoft y está en la lista de bloqueo del malware. Esta resolución comodín se ilustra con una búsqueda en el DNS de un subdominio inventado, como se muestra a continuación.

Como esta dirección IP es parte de la lista de bloqueo del malware, cuando se conecta a cualquier subdominio de avsvmcloud[.]com, se descarga y ya no se ejecuta.
Mientras que este interruptor de muerte desactivará los despliegues de puertas traseras de SunBurst que conectan los servidores de comando y control, FireEye ha declarado que los actores de la amenaza pueden haber desplegado otras puertas traseras.
«Sin embargo, en las intrusiones que FireEye ha visto, este actor se movió rápidamente para establecer mecanismos adicionales persistentes para acceder a las redes de víctimas más allá de la puerta trasera de SunBurst. Este interruptor asesino no eliminará al actor de las redes de víctimas donde han establecido otras puertas traseras. Sin embargo, dificultará que el actor aproveche las versiones distribuidas anteriormente de SunBurst», advirtió FireEye sobre el interruptor asesino», dijo FireEye a BleepingComputer en un comunicado.
Cómo comprobar si se ha visto comprometido
Si usted es un usuario de los productos de SolarWinds, debe consultar inmediatamente su asesoría y las Preguntas Frecuentes ya que contiene información necesaria sobre la actualización a la última versión ‘limpia’ de su software.
Microsoft también ha publicado una lista de diecinueve archivos DLL SolarWinds.Orion.Core.BusinessLayer.dll malignos que han sido descubiertos en la naturaleza.
Esta lista, que se muestra a continuación, contiene el hash SHA256 de un archivo, la versión del archivo y cuándo fue visto por primera vez.
SHA256 | Versión de archivo | Fecha en que se vio por primera vez |
e0b9eda35f01c1540134aba9195e7e6393286dde3e001fce36fb661cc346b91d | 2020.2.100.11713 | Febrero 2020 |
a58d02465e26bdd3a839fd90e4b317eece431d28cab203bbdde569e11247d9e2 | 2020.2.100.11784 | Marzo 2020 |
32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 | 2019.4.5200.9083 | Marzo 2020 |
dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b | 2020.2.100.12219 | Marzo 2020 |
eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed | 2020.2.100.11831 | Marzo 2020 |
c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77 | No disponible | Marzo 2020 |
ffdbdd460420972fd2926a7f460c198523480bc6279dd6cca177230db18748e8 | 2019.4.5200.9065 | Marzo 2020 |
b8a05cc492f70ffa4adcd446b693d5aa2b71dc4fa2bf5022bf60d7b13884f666 | 2019.4.5200.9068 | Marzo 2020 |
20e35055113dac104d2bb02d4e7e33413fae0e5a426e0eea0dfd2c1dce692fd9 | 2019.4.5200.9078 | Marzo 2020 |
0f5d7e6dfdd62c83eb096ba193b5ae394001bac036745495674156ead6557589 | 2019.4.5200.9078 | Marzo 2020 |
cc082d21b9e880ceb6c96db1c48a0375aaf06a5f444cb0144b70e01dc69048e6 | 2019.4.5200.9083 | Marzo 2020 |
ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c | 2020.4.100.478 | Abril 2020 |
019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 | 2020.2.5200.12394 | Abril 2020 |
ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 | 2020.2.5300.12432 | Mayo 2020 |
2b3445e42d64c85a5475bdbc88a50ba8c013febb53ea97119a11604b7595e53d | 2019.4.5200.9078 | Mayo 2020 |
92bd1c3d2a11fc4aba2735d9547bd0261560fb20f36a0e7ca2f2d451f1b62690 | 2020.4.100.751 | Mayo 2020 |
a3efbc07068606ba1c19a7ef21f4de15d15b41ef680832d7bcba485143668f2d | No disponible | No disponible |
a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc | 2019.4.5200.8890 | Octubre 2019 |
d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af | 2019.4.5200.8890 | Octubre 2019 |
Por último, los investigadores de seguridad han publicado varias herramientas que permiten comprobar si se ha visto comprometida o qué credenciales estaban almacenadas en su instalación SolarWinds Orion.
- Lanzamiento de SolarFlare: Contraseña para SolarWinds Orion
- La herramienta de vulnerabilidad de Orión de SpearTip SolarWinds SunScreen – SPF 10
El código fuente de ambos proyectos se publica en GitHub. Se recomienda encarecidamente revisar el código fuente, si está disponible, de cualquier programa que planee ejecutar en su red.