Microsoft compartió el miércoles más detalles sobre las tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés) adoptados por los atacantes detrás del hackeo de SolarWinds para pasar desapercibidos y evitar ser detectados, mientras las compañías de ciberseguridad trabajan para obtener una «imagen más clara» de uno de los más ataques sofisticados en la historia reciente.

Llamando al actor de amenazas «operadores hábiles y metódicos que siguen las mejores prácticas de seguridad de operaciones (OpSec)», la compañía dijo que los atacantes hicieron todo lo posible para garantizar que la puerta trasera inicial (Sunburst, también conocida como Solorigate) y los implantes posteriores al compromiso (Teardrop y Raindrop) se separan tanto como sea posible para dificultar los esfuerzos por detectar su actividad maliciosa.

«Los atacantes detrás de Solorigate son operadores de campaña hábiles que planificaron y ejecutaron el ataque cuidadosamente, manteniéndose esquivos y manteniendo la persistencia», investigadores del Equipo de investigación de Microsoft 365 Defender, el Centro de inteligencia de amenazas de Microsoft (MSTIC) y el Centro de operaciones de ciberdefensa de Microsoft (CDOC). ) dijo .

Si bien aún se desconoce la identidad exacta del grupo rastreado como StellarParticle (CrowdStrike), UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42) y Dark Halo (Volexity), el gobierno de EE. UU. a principios de este mes vinculó formalmente la campaña de espionaje a un grupo probablemente de origen ruso.

Una variedad de tácticas para pasar desapercibido

La cronología de los ataques de Microsoft muestra que la puerta trasera Sunburst DLL completamente funcional se compiló e implementó en la plataforma Orion de SolarWinds el 20 de febrero, luego de lo cual se distribuyó en forma de actualizaciones manipuladas en algún momento a fines de marzo.

Un período de reconocimiento de casi dos meses para perfilar sus objetivos, algo que requiere una persistencia sigilosa para pasar desapercibido y recopilar información valiosa, finalmente allanó el camino para el despliegue de implantes Cobalt Strike en redes de víctimas seleccionadas en mayo y la eliminación de Sunburst. del entorno de compilación de SolarWinds el 4 de junio.

Pero las respuestas sobre cómo y cuándo ocurre la transición de Sunburst a Raindrop han arrojado pocas pistas definitivas, incluso si parece que los atacantes separaron deliberadamente la ejecución del cargador Cobalt Strike del proceso SolarWinds como una medida de OpSec.

La idea es que, en caso de que se descubrieran los implantes de Cobalt Strike en las redes de destino, no se revelaría el binario de SolarWinds comprometido y el ataque a la cadena de suministro que condujo a su implementación en primer lugar.

Los hallazgos también dejan en claro que, si bien los piratas informáticos se basaron en una variedad de vectores de ataque, el software SolarWinds con troyanos formó el núcleo de la operación de espionaje:

• Evitación metódica de indicadores compartidos para cada host comprometido mediante la implementación de implantes DLL Cobalt Strike personalizados en cada sistema
• Camuflar herramientas y binarios maliciosos para imitar archivos y programas existentes que ya están presentes en la máquina comprometida
• Deshabilitar el registro de eventos usando AUDITPOL antes de la actividad práctica del teclado y volver a habilitarlo una vez que se complete
• Crear reglas de firewall especiales para minimizar los paquetes salientes para ciertos protocolos antes de ejecutar actividades de enumeración de red ruidosas que luego se eliminaron después de la encuesta de red
• Ejecutar actividades de movimiento lateral solo después de deshabilitar los servicios de seguridad en los hosts objetivo
• Presuntamente usando la marca de tiempo para cambiar las marcas de tiempo de los artefactos y aprovechando los procedimientos y herramientas de borrado para evitar el descubrimiento de implantes DLL maliciosos

Adoptar y mentalidad de confianza cero

“Este ataque fue a la vez sofisticado y ordinario”, dijo Microsoft. «El actor demostró sofisticación en la amplitud de las tácticas utilizadas para penetrar, expandirse y persistir en la infraestructura afectada, pero muchas de las tácticas, técnicas y procedimientos (TTP) eran individualmente comunes».

Para protegerse contra tales ataques en el futuro, la compañía recomienda que las organizaciones adopten una «mentalidad de confianza cero» para lograr el acceso con menos privilegios y minimizar los riesgos al habilitar la autenticación de múltiples factores.

«Con Solorigate, los atacantes aprovecharon las amplias asignaciones de roles, los permisos que excedían los requisitos de los roles y, en algunos casos, abandonaron cuentas y aplicaciones que no deberían haber tenido ningún permiso», dijo Alex Weinert, director de seguridad de identidad de Microsoft.