Varios investigadores de seguridad y equipos de investigación han publicado durante el fin de semana listas que van desde 100 a 280 organizaciones que instalaron una versión troyanizada de la plataforma SolarWinds Orion y tenían sus sistemas internos infectados con el malware Sunburst. La lista incluye los nombres de empresas de tecnología, gobiernos locales, universidades, hospitales, bancos y proveedores de telecomunicaciones.
Los nombres más importantes en esta lista incluyen a Cisco, Intel, Cox Communications, Deloitte, Nvidia, Optimizely y Digital Sense.
También se cree que MediaTek, una de las empresas de semiconductores más grandes del mundo, se ha visto afectada; aunque los investigadores de seguridad aún no están al 100% en su inclusión en sus listas.
Descifrando los subdominios de Sunburst
La forma en que los investigadores de seguridad compilaron estas listas fue mediante la ingeniería inversa del malware Sunburst (también conocido como Solorigate). Este malware se inyectó dentro de las actualizaciones de la aplicación SolarWinds Orion lanzada entre marzo y junio de 2020.
Las actualizaciones troyanizadas colocaron el malware Sunburst en lo profundo de las redes internas de muchas empresas y organizaciones gubernamentales que dependían de la aplicación Orion para monitorear y mantener inventarios de los sistemas de TI internos.
Según informes de análisis profundo publicados la semana pasada por Microsoft, FireEye, McAfee, Symantec, Kaspersky, y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA), en los sistemas infectados, el malware recopilaría información sobre la red de la empresa víctima, espere de 12 a 14 días, y luego envíe los datos a un servidor de comando y control remoto (C&C).
Los atacantes, que se cree que son un grupo patrocinado por el estado ruso, luego analizarían los datos que recibieron y escalaron los ataques solo en redes que fueran de interés para sus objetivos de recopilación de inteligencia.
La semana pasada, SolarWinds admitió el ataque y dijo que, basándose en la telemetría interna, casi 18.000 de sus 300.000 clientes descargaron versiones de la plataforma Orion que contenían el malware Sunburst.
Inicialmente, se pensó que solo SolarWinds podría identificar y notificar a todas las organizaciones afectadas. Sin embargo, a medida que los investigadores de seguridad seguían analizando el funcionamiento interno de Sunburst, también descubrieron algunas peculiaridades en las operaciones del malware, a saber, en la forma en que el malware hacía ping a su servidor C&C. Según una investigación publicada la semana pasada, Sunburst enviaría los datos que recopiló de una red infectada a una URL de servidor C&C que era única por víctima.
Esta URL única era un subdominio para avsvmcloud[.]com y contenía cuatro partes, donde la primera era una cadena de aspecto aleatorio. Pero los investigadores de seguridad dijeron que esta cadena no era realmente única, sino que contenía el nombre codificado del dominio de la red local de la víctima.
Desde la semana pasada, varias empresas de seguridad e investigadores independientes han estado examinando el tráfico web histórico y los datos de DNS pasivos para recopilar información sobre el tráfico que va al dominio avsvmcloud[.]com, descifrar los subdominios y luego localizar a las empresas que instalaron un SolarWinds Orion troyanizado. El malware Sunburst enviaba balizas desde el interior de sus redes al servidor de los atacantes (ahora abajo gracias a Microsoft y FireEye).
Una lista creciente de víctimas en primera y segunda etapa
La empresa de seguridad china TrueSec, el investigador de seguridad Dewan Chowdhury y la empresa de seguridad china QiAnXin se encuentran entre las varias que han publicado listas de organizaciones infectadas con Sunburst o herramientas para decodificar los subdominios avsvmcloud[.]com.
Aquí se muestra una tabla compilada por la empresa de seguridad Truesec con los nombres de dominio internos decodificados de algunas de las víctimas de SolarWinds. En la lista hay 281 dominios, de los cuales 136 ya han sido identificados.
Empresas como Cisco e Intel han confirmado formalmente que se infectaron en entrevistas con periodistas durante el fin de semana. Ambas compañías han dicho que no encontraron evidencia de que los delincuentes aumentaran el acceso para entregar cargas útiles de segunda etapa en sus sistemas.
VMWare y Microsoft, cuyos nombres no estaban en estas listas públicas, también confirmaron que instalaron actualizaciones de Orion troyanizadas en sus redes internas, pero también especificaron que tampoco encontraron ninguna evidencia de escalada de los atacantes.
Sin embargo, los delincuentes intensificaron sus ataques en las redes de algunos de sus objetivos. En una entrevista el viernes, el CEO de FireEye, Kevin Mandia, cuya compañía descubrió el hack de SolarWinds cuando investigaba una violación de sus sistemas internos, dijo que los atacantes , a pesar de infectar casi 18.000 redes, solo aumentaron el acceso a alrededor de 50 objetivos, según la visibilidad de FireEye.
En un informe separado, también publicado el viernes, Microsoft también dijo que identificó a 40 de sus propios clientes que habían instalado aplicaciones Orion infectadas y donde los atacantes escalaron el acceso. El “escalamiento” suele ocurrir cuando el servidor de C&C avsvmcloud[.]com respondía a una empresa infectada con una respuesta DNS muy específica que contiene un campo CNAME especial. Este campo CNAME especial contenía la ubicación de un segundo servidor C&C desde donde el malware Sunburst obtendría comandos adicionales y, a veces, descargaría otro malware.
Actualmente, la única empresa públicamente conocida en la que los delincuentes informáticos aumentaron el acceso es FireEye, cuya respuesta a la infracción ayudó a descubrir todo el hack de SolarWinds.
Hacer la diferencia entre los dos (una simple infección y escalada de Sunburst) es crucial para hacer el seguimiento de los incidentes. En el primer caso, es posible que solo necesiten eliminar el malware Sunburst, mientras que en el segundo, es posible que deban revisar los registros para identificar a qué sistemas internos aumentaron el acceso los delincuentes informáticos y qué datos se robaron de sus redes.
Varios investigadores de seguridad han confirmado que una gran parte de la comunidad de ciberseguridad ahora está trabajando con redes de entrega de contenido, proveedores de servicios de Internet y otras empresas de Internet para recopilar datos de DNS pasivos y buscar tráfico hacia y desde el dominio avsvmcloud[.]com para identificar a otras víctimas donde los atacantes escalaron el acceso.