ūüėé 60% Descuento:  Curso de Hacking Redes Inal√°mbricas >> Ver M√°s

Agencias de Estados Unidos y FireEye fueron hackeados con una puerta trasera de SolarWinds

Hackers patrocinados por el estado que supuestamente trabajan para Rusia se han dirigido a diferentes instituciones de Estados Unidos. El Departamento del Tesoro de los Estados Unidos y la Administraci√≥n Nacional de Telecomunicaciones e Informaci√≥n (NTIA) son algunas de las instituciones afectadas.  Asimismo, otras agencias gubernamentales han estado siendo monitoreadas en su tr√°fico de correo electr√≥nico interno como parte de una campa√Īa generalizada de ciberespionaje.

El Washington Post, citando fuentes no identificadas, dijo que los √ļltimos ataques fueron obra de APT29 o Cozy Bear. Este es el mismo grupo de hacking que se cree que orquest√≥ una infracci√≥n de la firma de ciberseguridad de Estados Unidos FireEye hace unos d√≠as. La mencionada infracci√≥n conllev√≥ al robo de diferentes herramientas de prueba de penetraci√≥n de equipos rojos.

El motivo y el alcance total de qu√© inteligencia se vio comprometida siguen sin estar claros. No obstante, hay indicios de que los adversarios manipularon una actualizaci√≥n de software lanzada por el proveedor de infraestructura inform√°tica con sede en Texas SolarWinds. Esto ocurri√≥ a principios de este a√Īo. Despu√©s de dicha acci√≥n se infiltraron en los sistemas de las agencias gubernamentales, as√≠ como en FireEye. A partir de ah√≠ pudieron montar un ataque de cadena de suministro altamente sofisticado.

Productos de SolarWinds

“El compromiso de los productos de administraci√≥n de red Orion de SolarWinds plantea riesgos inaceptables para la seguridad de las redes federales”, dijo Brandon Wales.  

Wales es el director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos(CISA). La CISA ha publicado una directiva de emergencia, instando a las agencias civiles federales para revisar sus redes en busca de actividad sospechosa. Y, deben desconectar o apagar los productos SolarWinds Orion inmediatamente.

Los productos de seguridad y redes de SolarWinds son utilizados por m√°s de 300,000 clientes en todo el mundo. Este es utilizado en las empresas Fortune 500, agencias gubernamentales e instituciones educativas.

También es utilizada en varias de las principales empresas de telecomunicaciones de Estados Unidos y en las cinco dependencias del ejército de Estados Unidos. Asimismo, a otras organizaciones gubernamentales prominentes como el Pentágono, el Departamento de Estado, la NASA, la Agencia de Seguridad Nacional (NSA), el Servicio Postal y la NOAA. Estas herramientas también son utilizadas en el Departamento de Justicia y el Oficina del presidente de los Estados Unidos.

Una campa√Īa evasiva para distribuir la puerta trasera SUNBURST

FireEye, que est√° rastreando la campa√Īa de intrusi√≥n en curso bajo el nombre de “UNC2452” ha dado su postura. Dijeron que el ataque a la cadena de suministro aprovecha las actualizaciones del software empresarial SolarWinds Orion troyanizado para distribuir una puerta trasera llamada SUNBURST.

“Esta campa√Īa puede haber comenzado ya en la primavera de 2020 y actualmente est√° en curso”, dijo FireEye en un an√°lisis del domingo. “La actividad posterior al compromiso despu√©s de este compromiso de la cadena de suministro ha incluido el movimiento lateral y el robo de datos. La campa√Īa es el trabajo de un actor altamente calificado y la operaci√≥n se llev√≥ a cabo con una seguridad operativa significativa”.

Complemento falso

Se dice que esta versi√≥n falsa del complemento SolarWinds Orion tiene varias caracter√≠sticas llamativas.  Adem√°s de disfrazar su tr√°fico de red como el protocolo del Improvement Program de Orion (OIP), se comunica a trav√©s de HTTP a servidores remotos. Esto para recuperar y ejecutar comandos maliciosos (“Jobs”) que cubren la gama de software esp√≠a.  Entre estos, aquellos para transferir archivos, ejecutar archivos, perfilar y reiniciar el sistema de destino y deshabilitar los servicios del sistema.

El Improvement Program de Orion u OIP se utiliza principalmente para recopilar datos de estadísticas de uso. Y, rendimiento de los usuarios de SolarWinds con el fin de mejorar el producto.

Adem√°s, las direcciones IP utilizadas para la campa√Īa fueron ofuscadas por servidores VPN ubicados en el mismo pa√≠s que la v√≠ctima para evadir la detecci√≥n.

Microsoft tambi√©n corrobor√≥ los hallazgos en un an√°lisis separado. Ellos indicaron que el ataque (al que llaman ” Solorigate “) aprovech√≥ la confianza asociada con el software SolarWinds. Esto para insertar c√≥digo malicioso como parte de una campa√Īa m√°s grande.

“Se incluy√≥ una clase de software malicioso entre muchas otras clases leg√≠timas y luego se firm√≥ con un certificado leg√≠timo”, dijo el fabricante de Windows. El binario resultante incluy√≥ una puerta trasera y luego se distribuy√≥ discretamente en organizaciones espec√≠ficas‚ÄĚ.

SolarWinds publica un aviso de seguridad

En un aviso de seguridad publicado por SolarWinds, la compa√Ī√≠a dijo que el ataque apunta a las versiones 2019.4 a 2020.2.1 del software SolarWinds Orion Platform. Espec√≠ficamente, el que se lanz√≥ entre marzo y junio de 2020. Y, recomend√≥ a los usuarios actualizar a la versi√≥n Orion Platform 2020.2.1 HF 1 de inmediato.

Esperamos que SolarWinds, que actualmente est√° investigando el ataque en coordinaci√≥n con FireEye y la Oficina Federal de Investigaciones de Estados Unidos tome otras medidas.  Deben publicar una revisi√≥n adicional, 2020.2.1 HF 2, el 15 de diciembre, que reemplazar√° el componente comprometido y proporcionar√° varias mejoras de seguridad adicionales.

La semana pasada, FireEye reveló que fue víctima de un ataque altamente sofisticado de un gobierno extranjero. El ataque comprometió sus herramientas de software utilizadas para probar las defensas de sus clientes.

Con un total de 60, las herramientas de Equipo Rojo (Red Team) robadas son una combinaci√≥n de herramientas disponibles p√ļblicamente (43%). Tambi√©n robaron versiones modificadas de herramientas disponibles p√ļblicamente (17%) y aquellas que se desarrollaron internamente (40%).

Además, el robo también incluye payloads de explotación que aprovechan las vulnerabilidades críticas en Pulse Secure SSL VPN (CVE-2019-11510). También payloads para Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) y Windows Remote Desktop Services(CVE-2019-0708).

La campa√Īa, en √ļltima instancia, parece ser un ataque a la cadena de suministro a escala global. FireEye dijo que detect√≥ esta actividad en varias entidades en todo el mundo. Las entidades abarcan empresas gubernamentales, de consultor√≠a, tecnolog√≠a, telecomunicaciones y extractivas en Am√©rica del Norte, Europa, Asia y el medio Oriente.

Los indicadores de compromiso (IoC) y otros aspectos relevantes del ataque dise√Īados para contrarrestar SUNBURST los puedes ver aqu√≠.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información