Agencias de Estados Unidos y FireEye fueron hackeados con una puerta trasera de SolarWinds
Hackers patrocinados por el estado que supuestamente trabajan para Rusia se han dirigido a diferentes instituciones de Estados Unidos. El Departamento del Tesoro de los Estados Unidos y la Administración Nacional de Telecomunicaciones e Información (NTIA) son algunas de las instituciones afectadas. Asimismo, otras agencias gubernamentales han estado siendo monitoreadas en su tráfico de correo electrónico interno como parte de una campaña generalizada de ciberespionaje.
El Washington Post, citando fuentes no identificadas, dijo que los últimos ataques fueron obra de APT29 o Cozy Bear. Este es el mismo grupo de hacking que se cree que orquestó una infracción de la firma de ciberseguridad de Estados Unidos FireEye hace unos días. La mencionada infracción conllevó al robo de diferentes herramientas de prueba de penetración de equipos rojos.
El motivo y el alcance total de qué inteligencia se vio comprometida siguen sin estar claros. No obstante, hay indicios de que los adversarios manipularon una actualización de software lanzada por el proveedor de infraestructura informática con sede en Texas SolarWinds. Esto ocurrió a principios de este año. Después de dicha acción se infiltraron en los sistemas de las agencias gubernamentales, así como en FireEye. A partir de ahí pudieron montar un ataque de cadena de suministro altamente sofisticado.
Productos de SolarWinds
“El compromiso de los productos de administración de red Orion de SolarWinds plantea riesgos inaceptables para la seguridad de las redes federales”, dijo Brandon Wales.
Wales es el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos(CISA). La CISA ha publicado una directiva de emergencia, instando a las agencias civiles federales para revisar sus redes en busca de actividad sospechosa. Y, deben desconectar o apagar los productos SolarWinds Orion inmediatamente.
Los productos de seguridad y redes de SolarWinds son utilizados por más de 300,000 clientes en todo el mundo. Este es utilizado en las empresas Fortune 500, agencias gubernamentales e instituciones educativas.
También es utilizada en varias de las principales empresas de telecomunicaciones de Estados Unidos y en las cinco dependencias del ejército de Estados Unidos. Asimismo, a otras organizaciones gubernamentales prominentes como el Pentágono, el Departamento de Estado, la NASA, la Agencia de Seguridad Nacional (NSA), el Servicio Postal y la NOAA. Estas herramientas también son utilizadas en el Departamento de Justicia y el Oficina del presidente de los Estados Unidos.
Una campaña evasiva para distribuir la puerta trasera SUNBURST
FireEye, que está rastreando la campaña de intrusión en curso bajo el nombre de “UNC2452” ha dado su postura. Dijeron que el ataque a la cadena de suministro aprovecha las actualizaciones del software empresarial SolarWinds Orion troyanizado para distribuir una puerta trasera llamada SUNBURST.
“Esta campaña puede haber comenzado ya en la primavera de 2020 y actualmente está en curso”, dijo FireEye en un análisis del domingo. “La actividad posterior al compromiso después de este compromiso de la cadena de suministro ha incluido el movimiento lateral y el robo de datos. La campaña es el trabajo de un actor altamente calificado y la operación se llevó a cabo con una seguridad operativa significativa”.
Complemento falso
Se dice que esta versión falsa del complemento SolarWinds Orion tiene varias características llamativas. Además de disfrazar su tráfico de red como el protocolo del Improvement Program de Orion (OIP), se comunica a través de HTTP a servidores remotos. Esto para recuperar y ejecutar comandos maliciosos (“Jobs”) que cubren la gama de software espía. Entre estos, aquellos para transferir archivos, ejecutar archivos, perfilar y reiniciar el sistema de destino y deshabilitar los servicios del sistema.
El Improvement Program de Orion u OIP se utiliza principalmente para recopilar datos de estadísticas de uso. Y, rendimiento de los usuarios de SolarWinds con el fin de mejorar el producto.
Además, las direcciones IP utilizadas para la campaña fueron ofuscadas por servidores VPN ubicados en el mismo país que la víctima para evadir la detección.
Microsoft también corroboró los hallazgos en un análisis separado. Ellos indicaron que el ataque (al que llaman ” Solorigate “) aprovechó la confianza asociada con el software SolarWinds. Esto para insertar código malicioso como parte de una campaña más grande.
“Se incluyó una clase de software malicioso entre muchas otras clases legítimas y luego se firmó con un certificado legítimo”, dijo el fabricante de Windows. El binario resultante incluyó una puerta trasera y luego se distribuyó discretamente en organizaciones específicas”.
SolarWinds publica un aviso de seguridad
En un aviso de seguridad publicado por SolarWinds, la compañía dijo que el ataque apunta a las versiones 2019.4 a 2020.2.1 del software SolarWinds Orion Platform. Específicamente, el que se lanzó entre marzo y junio de 2020. Y, recomendó a los usuarios actualizar a la versión Orion Platform 2020.2.1 HF 1 de inmediato.
Esperamos que SolarWinds, que actualmente está investigando el ataque en coordinación con FireEye y la Oficina Federal de Investigaciones de Estados Unidos tome otras medidas. Deben publicar una revisión adicional, 2020.2.1 HF 2, el 15 de diciembre, que reemplazará el componente comprometido y proporcionará varias mejoras de seguridad adicionales.
La semana pasada, FireEye reveló que fue víctima de un ataque altamente sofisticado de un gobierno extranjero. El ataque comprometió sus herramientas de software utilizadas para probar las defensas de sus clientes.
Con un total de 60, las herramientas de Equipo Rojo (Red Team) robadas son una combinación de herramientas disponibles públicamente (43%). También robaron versiones modificadas de herramientas disponibles públicamente (17%) y aquellas que se desarrollaron internamente (40%).
Además, el robo también incluye payloads de explotación que aprovechan las vulnerabilidades críticas en Pulse Secure SSL VPN (CVE-2019-11510). También payloads para Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) y Windows Remote Desktop Services(CVE-2019-0708).
La campaña, en última instancia, parece ser un ataque a la cadena de suministro a escala global. FireEye dijo que detectó esta actividad en varias entidades en todo el mundo. Las entidades abarcan empresas gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y el medio Oriente.
Los indicadores de compromiso (IoC) y otros aspectos relevantes del ataque diseñados para contrarrestar SUNBURST los puedes ver aquí.