La firma de seguridad FireEye confirmó que delincuentes informáticos, que se cree que operan en nombre de un gobierno extranjero, han violado el proveedor de software SolarWinds y luego implementaron una actualización con un Backdoor para su plataforma Orion y lograr infectar redes de múltiples empresas privadas y organizaciones gubernamentales.
El ataque a la cadena de suministro de SolarWinds (suply-chain-attack) también es la forma en que los atacantes obtuvieron acceso a la propia red de FireEye, que la compañía reveló a principios de esta semana pasada. Este ataque es una especie de “God-Mode” para acceder a las empresas.
En las noticias…
El informe de FireEye se produce después de que Reuters, Washington Post, y Wall Street Journal informaron sobre las intrusiones del domingo en el Departamento del Tesoro de EE.UU. y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE.UU.
The Washington Post citó fuentes que afirman que muchas otras agencias gubernamentales también se vieron afectadas. Reuters informó que el incidente se consideró tan grave que llevó a una rara reunión del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca, un día antes, el sábado. Reuters dice que la explotación de una una vulnerabilidad en Microsoft Office 365 fue la ruta que tomaron los atacantes para irrumpir en la Administración Nacional de Telecomunicaciones e Información, una parte del Departamento de Comercio de Estados Unidos.
SolarWinds dice que tiene más de 320.000 clientes, incluyendo:
- More than 425 of the U.S. Fortune 500
- All ten of the top ten US telecommunications companies
- All five branches of the U.S. military
- All five of the top five U.S. accounting firms
- The Pentagon U.S.
- The State Department U.S.
- The National Security Agency (NSA)
- The Department of Justice U.S.
- The White House U.S.
- El sistema Dominion Voting Systems también usa SolarWinds, de acuerdo a su página web.
Según SolarWinds, “solo” 18.000 clientes se vieron afectados por una versión troyanizada pero esta nueva cadena de ataques a través de Solawinds abre un nuevo y completo panorama de otras posibles víctimas.
De acuerdo a la propia Fireeye, la actualización maliciosa de SolarWinds:
- se realizó a través de la inserción de código en actualizaciones legítimas del software Orion;
- permiten a un atacante acceder de forma remota al entorno de la víctima;
- tiene una huella de malware muy ligera, limitado para cumplir la misión y evitar la detección;
- se prioriza el sigilo: hacer todo lo posible para observar y combinar con la actividad normal de la red;
- alto OPSEC: se realiza el reconocimiento con paciencia, cubriendo constantemente sus pistas y utilizando herramientas difíciles de atribuir.
Fuentes que hablaron con el Washington Post vincularon la intrusión a APT29 (Cozy Bear), un nombre muy conocido en la industria, para describir a los atacantes asociados con el Servicio de Inteligencia Exterior de Rusia (SVR).
En su documento técnico, FireEye no confirmó la atribución de APT29 y le dio al grupo un nombre en clave neutral de UNC2452, aunque varias fuentes en la comunidad de ciberseguridad le dijeron a ZDNet que la atribución de APT29, realizada por el gobierno de los EE.UU., es probablemente correcta, según la evidencia actual.
Revisión técnica
Varias actualizaciones troyanizadas se firmaron digitalmente de marzo a mayo de 2020 y se publicaron en el sitio web de actualizaciones de SolarWinds, que incluyen: hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp.
El archivo de actualización troyano es un archivo de revisión estándar de Windows Installer que incluye recursos comprimidos asociados con la actualización, incluido el componente Trojanizado SolarWinds.Orion.Core.BusinessLayer.dll. Una vez instalada la actualización, el archivo DLL malicioso será cargado por SolarWinds.BusinessLayerHost.exe o SolarWinds.BusinessLayerHostx64.exe legítimo (según la configuración del sistema).
SolarWinds.Orion.Core.BusinessLayer.dll es un componente firmado digitalmente de SolarWinds (02af7cec58b9a5da1c…) y contiene una puerta trasera que se comunica a través de HTTP a servidores de terceros. Se está rastreando la versión troyanizada de este complemento de SolarWinds Orion como SUNBURST (32519b85c0b422e465… – Reporte de actividad)
Después de un período inactivo de hasta dos semanas, el malware intentará resolver un subdominio de avsvmcloud[.]com. La respuesta de DNS devolverá un registro CNAME que apunta a dominios de comando y control (C2) que se pueden ver el código modificado (por ejemplo avsvmcloud[.]com y todos estos).
El tráfico C2 a los dominios maliciosos está diseñado para imitar las comunicaciones API de SolarWinds normales. La lista de infraestructura maliciosa conocida está disponible en la página de GitHub de FireEye. Sus “jobs” recuperan y ejecutan comandos que incluyen la capacidad de transferir archivos, ejecutar archivos, perfilar el sistema, reiniciar la máquina y deshabilitar los servicios del sistema.
El malware disfraza su tráfico de red como el protocolo del Programa de mejora de Orion (OIP) y almacena los resultados del reconocimiento en archivos de configuración de complementos legítimos, lo que le permite integrarse con la actividad legítima de SolarWinds. La puerta trasera utiliza múltiples listas de bloqueo ofuscadas para identificar herramientas forenses y antivirus que se ejecutan como procesos, servicios y controladores.
Se han recuperado múltiples muestras de SUNBURST, entregando diferentes cargas útiles. En al menos una instancia, los atacantes desplegaron un Beacon personalizado de Cobalt Strike denominado TEARDROP, el cual se ejecuta como un servicio y comprueba si existe la clave de registro HKU\SOFTWARE\Microsoft\CTF.
En las alertas de seguridad enviadas a sus clientes en privado el domingo, Microsoft también confirmó el compromiso de SolarWinds y proporcionó contramedidas a los clientes que pueden haber sido afectados.
SolarWinds publicó un comunicado de prensa a última hora del domingo admitiendo la violación de Orion, una plataforma de software para el monitoreo y la administración centralizados, generalmente empleada en grandes redes para realizar un seguimiento de todos los recursos de TI, como servidores, estaciones de trabajo, dispositivos móviles y dispositivos de IoT.
La empresa dijo que las versiones de actualización de Orion 2019.4 a 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020, se han contaminado con malware. FireEye nombró a este malware SUNBURST y publicó un informe técnico, junto con las reglas de detección en GitHub (Yara, Snort, IOC, Hash, dominios/IP, etc).
A pesar de los informes iniciales del domingo y la campaña de atacas no parece haber estado dirigida específicamente a Estados Unidos. “La campaña está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo. Las víctimas han incluido entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente. Anticipamos que habrá víctimas adicionales en otros países y verticales”, dijo FireEye.
Microsoft nombró al malware Solorigate y agregó reglas de detección a su antivirus Defender. Por ahora no se reveló el número de víctimas.
SolarWinds lanzó hoy lunes una nueva actualización para “reemplazar el componente comprometido y proporciona varias mejoras de seguridad adicionales”:
- Orion Platform v2020.2 (sin revisión) ➔ instalar v2020.2.1 HF 1
- Orion Platform v2020.2 HF 1 ➔ instalar v2020.2.1 HF 1
- Orion Platform v2019.4 HF 5 ➔ instalar v2019.4 HF 6
- Además, se recomienda seguir la siguiente guía de Hardening.
Se prevé que una revisión adicional, 2020.2.1 HF 2, esté disponible mañana martes 15 de diciembre. Recomendamos que todos los clientes actualicen a la versión 2020.2.1 HF 2 una vez que esté disponible, ya que reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales. Estas versiones se pueden descargar desde el portal de Solarwinds.
La Agencia de Infraestructura y Ciberseguridad de EE.UU. (CISA) también emitió una directiva de emergencia con instrucciones sobre cómo las agencias gubernamentales pueden detectar y analizar sistemas comprometidos con el malware SUNBURST.