El 13 de diciembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió una directiva de emergencia advirtiendo que los productos de monitoreo de red SolarWinds Orion habían sido comprometidos y estaban siendo explotados activamente por actores maliciosos. El mismo día, FireEye publicó un análisis técnico detallado del backdoor involucrado.
SolarWinds estimó que unos 18,000 de sus 300,000 clientes podrían haber instalado el software comprometido. Teniendo en cuenta que los clientes de SolarWinds incluyen a la mayoría de las empresas Fortune 500, todas las oficinas militares y de telecomunicaciones, numerosas agencias gubernamentales de los Estados Unidos y el Reino Unido, e incluso la Oficina del Presidente de los Estados Unidos, esto es muy serio.
Los atacantes modificaron los archivos de instalación para las actualizaciones de SolarWinds Orion agregando un backdoor avanzado (denominado Sunburst por FireEye) y colocaron los archivos modificados en el servidor de actualizaciones de SolarWinds. Una vez instalado con la actualización, el malware espera 2 semanas y luego contacta sigilosamente a un servidor de comando y control, esperando instrucciones.
Debido a que Orion opera a nivel del sistema y de la red, el malware puede obtener un acceso extenso al sistema de archivos y las comunicaciones de la red al mismo tiempo que cubre sus pistas para evitar la detección.
Las actualizaciones manipuladas se deslizaron en los sistemas SolarWinds entre marzo y junio. No hay información oficial disponible sobre el vector de inserción, pero varios informes no oficiales sugieren múltiples casos de seguridad laxa, como exponer las credenciales de inicio de sesión de FTP en un repositorio de código público, usar contraseñas débiles y enviar credenciales por correo electrónico. Independientemente del vector inicial, los archivos de actualización maliciosos tienen firmas digitales válidas, lo que sugiere una infiltración mucho más profunda a la infraestructura de SolarWinds.
CISA ha advertido a todos los clientes de SolarWinds que instalaron una de las actualizaciones maliciosas que asuman que sus sistemas se han visto comprometidos y actúen en consecuencia. Más allá de parchar Orion inmediatamente a una versión segura y limpiar los sistemas, esto puede significar revisar 6 meses de logs del sistema y de la red en busca de signos de actividad sospechosa.
Todo indica que el ataque fue una operación de recopilación de inteligencia masiva, por lo que se esta señalando unánimemente a los actores patrocinados por el estado, en particular al grupo de piratería ruso APT29 (también conocido como Cozy Bear).
Desde el comienzo de la pandemia Covid-19, es posible que los atacantes hayan podido acceder a los datos confidenciales de muchas instituciones gubernamentales y algunas de las corporaciones más grandes del mundo. Si bien esto, afortunadamente, no tuvo un impacto operativo directo, sí significa que muchos secretos podrían dejar de ser secretos.
Si bien la magnitud y la audacia del ataque son impresionantes, los expertos en ciberseguridad coinciden en que no hay necesidad de entrar en pánico. Debido a que la puerta trasera era tan sigilosa, en realidad acceder a un sistema específico fue una operación manual de relativamente alto esfuerzo, por lo que es probable que muchas, si no la mayoría, de las instalaciones comprometidas no fueran atacadas activamente.
Fuente: Netsparker
Cyberseguridad México © 2020
