El 1 de diciembre, FireEye anunció que fue atacado por lo que creen que es un sofisticado actor de amenazas, cuya disciplina, seguridad operativa y técnicas indican un adversario patrocinado por el estado.
El análisis de FireEye apuntaba a una campaña global de intrusión, un ataque a la cadena de suministro que troyano las actualizaciones de software de SolarWinds Orion realizadas por un actor de amenazas avanzado y sofisticado y que distribuye una puerta trasera apodada SUNBURST.
En primer lugar, ¿qué es un ataque a la cadena de suministro?
Un ataque a la cadena de suministro es un ciberataque que busca dañar a una organización apuntando a elementos menos seguros en la red de suministro. Por ejemplo, en 2013, Target fue golpeado por una violación de datos que vio 40 millones de información de tarjetas de crédito y débito de clientes se filtró cuando se introdujo malware en su sistema de punto de venta en más de 1.800 tiendas. Se cree, aunque no está oficialmente confirmado, que los delincuentes cibernéticos se infiltraron en la red de Target utilizando credenciales robadas de Fazio Mechanical Services, un proveedor de sistemas HVAC con sede en Pensilvania.
Un Orión troyano
El domingo, SolarWinds publicó un comunicado de prensa admitiendo una violación por parte de un actor sofisticado que encontró una manera de inyectar código malicioso en el software de monitoreo y gestión de TI Orion de SolarWinds. El código malicioso se distribuyó a muchas organizaciones gubernamentales y de alto perfil a través del sitio web de SolarWinds como parte de los paquetes de actualización de software. El módulo de plugin «SolarWindows.Orion.Core.BusinessLayer.dll» firmado digitalmente contenía código de puerta trasera escondido a simple vista mediante el uso de nombres de variables falsas y atando en componentes legítimos y se carga e invoca por el marco de software Orion. El módulo plugin malicioso es seguido como SUNBURST por FireEye y Solorigate por Microsoft.
El código malicioso se distribuyó parte de la versión de actualización 2019.4 a través de 2020.2.1. que fueron lanzados entre marzo y junio de 2020. De acuerdo con el análisis en profundidad por FireEye, después de un período inactivo inicial de hasta dos semanas, el código de puerta trasera recupera y ejecuta comandos que le permiten transferir archivos, ejecutar archivos, perfilar el sistema, reiniciar la máquina y deshabilitar los servicios del sistema.
El malware enmascara el tráfico de red como el orion Improvement Program (OIP) protocolo y almacena resultados de reconocimiento dentro de archivos de configuración de plugin legítimos que le permite mezclarse con la actividad legítima De SolarWinds. La puerta trasera utiliza varias listas de bloqueo ofuscadas para identificar las herramientas forenses y antivirus que se ejecutan como procesos, servicios y controladores. La puerta trasera determina su servidor de comando y control mediante un algoritmo de generación de dominios (DGA) que le permite generar aleatoriamente uno de los muchos nombres de host C2, lo que lo hace más robusto contra la detección y la lista de bloqueo. El tráfico de comando y control se oculta mediante la estenografía en lo que parece un intercambio de código benigno para ensamblados .NET.
¿Quién se vio comprometido por el ataque SolarWinds?
SolarWinds confirmó que 18.000 clientes de Orion podrían verse comprometidos. Reuters informó que los atacantes parecen haberse centrado en un pequeño número de objetivos de alto valor, dejando a la mayoría de los clientes de Orion no afectados. Según ZDNet, varios administradores de TI informaron que encontraron signos de la actualización de Orion con paneles de malware en sus sistemas, pero no encontraron signos de cargas útiles de segunda etapa, normalmente utilizados por los atacantes para escalar el acceso a otros sistemas y redes internas de clientes.
Un actor avanzado y sofisticado de amenazas
El uso de técnicas avanzadas para desplegar un malware ligero para lograr la misión y evitar la detección a través de ofuscación y estenografía apunta a un actor de amenazas altamente sofisticado. FireEye está rastreando el grupo de amenazas con un nombre en clave un nombre en clave UNC2452, aunque fuentes que hablaban con el Washington Post vincularon la intrusión a APT29, también conocido como Cozy Bear, e indicando un grupo de hackers ruso que se cree que tiene relaciones de trabajo con el Servicio de Inteligencia Extranjera de Rusia. El portavoz del Kremlin, Dmitry Peskov, dijo a los periodistas el lunes que Rusia no tenía «nada que ver» con la piratería.
¿Qué significa para los clientes de SolarWinds?
Incluso si los atacantes se centraron en un pequeño número de objetivos de alto valor, ¿cómo se define un valor alto? Cualquier organización que utilice la plataforma de software SolarWinds Orion y que las actualizaciones instaladas para la plataforma entre marzo y junio de 2020 es de puerta trasera y potencialmente violada. La actualización al último software Orion eliminará la puerta trasera, pero sin análisis forense no es posible excluir la posibilidad de que se haya cargado otro malware, o cuentas de usuario creadas que permitan a los actores maliciosos acceder a la red y los sistemas de la víctima incluso después de limpiar y mitigar la amenaza original.
¿Qué fue robado durante el ataque FireEye?
De acuerdo con un ciberespionaje de estado-nación, el atacante buscó información relacionada con los clientes del gobierno. Mientras que el atacante pudo acceder a algunos sistemas internos, en el momento del anuncio, no había evidencia de que los atacantes hubieran exfiltrado datos confidenciales o confidenciales. FireEye confirmó que el atacante accedió y robó sus herramientas rojas de evaluación del equipo.
Las herramientas robadas van desde simples scripts utilizados para automatizar el reconocimiento hasta marcos completos que son similares a las tecnologías disponibles públicamente como CobaltStrike y Metasploit. Muchas de las herramientas rojas del equipo ya se han lanzado a la comunidad y ya están distribuidas en su máquina virtual de código abierto, CommandoVM.
Las herramientas rojas del equipo robadas por el atacante no incluían exploits de día cero. Las herramientas aplican métodos conocidos y documentados que son utilizados por otros equipos rojos de todo el mundo. Algunas de las herramientas son herramientas disponibles públicamente modificadas para evadir los mecanismos básicos de detección de seguridad. Otras herramientas y marcos fueron desarrollados internamente por el equipo rojo FireEye. FireEye ha publicado una colección de reglas que proporcionan contramedidas contra las vulnerabilidades armadas utilizadas en sus herramientas rojas de equipo.
Para obtener más detalles sobre el impacto de estas herramientas robadas, por favor lea nuestra alerta de amenaza.
¿Qué debe hacer?
Las herramientas robadas de FireEye Red Team no solo se aplican a las víctimas de SolarWinds Orion, sino que impactan a todas las organizaciones del mundo. Las herramientas robadas no aprovechan vulnerabilidades desconocidas ni ataques de día cero, pero siguen siendo ataques armados que se pueden automatizar y aprovechar para escalar ataques. Las herramientas robadas podrían tener un mayor grado de automatización e integración en comparación con las herramientas disponibles públicamente que se aprovecharon en el pasado.
Vulmon, un motor de búsqueda de vulnerabilidades con características de inteligencia de vulnerabilidad, compiló una lista de vulnerabilidades basadas en las contramedidas publicadas por FireEye. Las siguientes vulnerabilidades deben ser parcheadas y mitigadas tan pronto como sea posible si no lo son ya. Los clientes que estaban retrasando la aplicación de parches o la actualización de ciertos sistemas deben hacerlo inmediatamente.
- CVE-2019-11510: Pulse Secure Pulse Connect Secure unauthenticated path traversal
- CVE-2020-1472: La vulnerabilidad de escalación de privilegios de Microsoft Active Directory también se conoce como Zerologon
- CVE-2018-13379: Fortinet Fortigate SSL VPN unauthenticated path traversal
- CVE-2018-15961: Vulnerabilidad de ejecución remota de código de Adobe ColdFusion
- CVE-2019-0604: Vulnerabilidad de ejecución remota de código de Microsoft SharePoint
- CVE-2019-0708: Vulnerabilidad de ejecución remota de código de Microsoft Windows Remote Desktop Services (RDS) también conocida como BlueKeep
- CVE-2019-11580: Vulnerabilidad de ejecución remota de código Atlassian Crowd
- CVE-2019-19781: Vulnerabilidad de ejecución remota de código Citrix Application Delivery Controller y Citrix Gateway
- CVE-2020-10189: RCE para La vulnerabilidad de ejecución remota de código de Zoho ManageEngine Desktop Central
- CVE-2014-1812: escalada de privilegios locales de Microsoft Windows
- CVE-2019-3398: Ejecución de código remoto autenticado por Atlassian Confluence
- CVE-2020-0688: Ejecución remota de código de Microsoft Exchange
- CVE-2016-0167: Escalada de privilegios locales en versiones anteriores de Microsoft Windows
- CVE-2017-11774: Ejecución remota de código en Microsoft Outlook a través de URI especialmente diseñado (phishing) también conocido como vulnerabilidad de omisión de características de seguridad de Microsoft Outlook
- CVE-2018-8581: Vulnerabilidad de privilegios de Microsoft Exchange Server
- CVE-2019-8394: Zoho ManageEngine ServiceDesk Plus (SDP) carga de archivos no autenticado
¿Qué deben hacer los clientes de SolarWinds Orion?
SolarWinds recomienda a todos los clientes actualizar inmediatamente a la versión 2020.2.1 HF 1 de Orion Platform, que actualmente está disponible a través del Portal de clientes de SolarWinds. Además, SolarWinds ha lanzado instrucciones adicionales de mitigación y endurecimiento aquí. Además, FireEye publicó IOC y contramedidas aquí. FireEye publicó más detalles técnicos sobre las tácticas, técnicas y procedimientos del actor (TTP).