Investigadores encuentran infraestructura adicional utilizada por piratas informáticos de SolarWinds

El extenso ataque cibernético de SolarWinds que salió a la luz en diciembre pasado fue conocido por su sofisticación en la amplitud de las tácticas utilizadas para infiltrarse y persistir en la infraestructura objetivo, tanto que Microsoft llamó al actor de amenazas detrás de la campaña «operadores hábiles y metódicos». que siguen las mejores prácticas de seguridad de operaciones (OpSec) para minimizar los rastros, pasar desapercibidos y evitar la detección».

Como prueba adicional de esto, una nueva investigación publicada hoy muestra que el actor de amenazas planeó cuidadosamente cada etapa de la operación para «evitar crear el tipo de patrones que simplifican el seguimiento», lo que dificulta deliberadamente el análisis forense.

Al analizar los datos de telemetría asociados con los indicadores de compromiso publicados anteriormente, RiskIQ dijo que identificó un conjunto adicional de 18 servidores con alta confianza que probablemente se comunicaron con las cargas útiles secundarias de Cobalt Strike entregadas a través del malware TEARDROP y RAINDROP, lo que representa un aumento del 56 %. la huella conocida de comando y control del atacante.

Los «patrones ocultos» se descubrieron mediante un análisis de los certificados SSL utilizados por el grupo.

El desarrollo se produce una semana después de que las agencias de inteligencia de EE. UU. atribuyeron formalmente el ataque a la cadena de suministro al Servicio de Inteligencia Exterior de Rusia (SVR). Se dice que el compromiso de la cadena de suministro de software de SolarWinds le dio a APT29 (también conocido como Cozy Bear o The Dukes) la capacidad de espiar de forma remota o potencialmente interrumpir más de 16,000 sistemas informáticos en todo el mundo, según el gobierno de EE. UU.

Los ataques están siendo rastreados por la comunidad de seguridad cibernética bajo varios apodos, incluidos UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unidad 42), StellarParticle (Crowdstrike) y Dark Halo (Volexity), citando diferencias en las tácticas, técnicas, y procedimientos (TTP) empleados por el adversario con el de perfiles de atacante conocidos, contando APT29.

«Los investigadores o los productos sintonizados para detectar la actividad conocida de APT29 no reconocerían la campaña cuando estaba ocurriendo», dijo Kevin Livelli, director de inteligencia de amenazas de RiskIQ. «Les resultaría igualmente difícil seguir el rastro de la campaña una vez que la descubrieran, razón por la cual sabíamos tan poco sobre las etapas posteriores de la campaña SolarWinds».

A principios de este año, el fabricante de Windows notó cómo los atacantes hicieron todo lo posible para asegurarse de que la puerta trasera inicial (SUNBURST, también conocida como Solorigate) y los implantes posteriores al compromiso (TEARDROP y RAINDROP) permanecieran separados tanto como fuera posible para obstaculizar los esfuerzos para detectar su actividad maliciosa. Esto se hizo para que, en caso de que se descubrieran los implantes de Cobalt Strike en las redes de las víctimas; no revelaría el binario SolarWinds comprometido y el ataque a la cadena de suministro que condujo a su implementación en primer lugar.

Pero según RiskIQ, este no es el único paso que tomó el actor de APT29 para cubrir sus huellas, que incluyeron:

  • Compra de dominios a través de revendedores externos y en subastas de dominios con diferentes nombres, en un intento de ocultar la información de propiedad y readquisición de dominios vencidos que hasta ahora eran propiedad de organizaciones legítimas en un lapso de varios años.
  • Alojar la infraestructura de ataque de la primera etapa (SUNBURST) completamente en los EE. UU., la segunda etapa (TEARDROP y RAINDROP) principalmente dentro de los EE. UU. y la tercera etapa (GOLDMAX alias SUNSHUTTLE) principalmente en países extranjeros.
  • Diseñar el código de ataque de tal manera que no se implementen dos piezas de malware durante las sucesivas etapas de la cadena de infección, y
  • Ingeniería de la puerta trasera SUNBURST de primera etapa para que señale sus servidores de comando y control (C2) con fluctuaciones aleatorias después de un período de dos semanas, en un intento probable de sobrevivir a la vida útil típica del registro de eventos en la mayoría de los sistemas de detección de puntos finales basados ​​en host y Plataformas de respuesta (EDR).

«Identificar la huella de la infraestructura de ataque de un actor de amenazas generalmente implica correlacionar IP y dominios con campañas conocidas para detectar patrones», dijo Livelli.

«Sin embargo, nuestro análisis muestra que el grupo tomó amplias medidas para desviar a los investigadores de su rastro», lo que sugiere que el actor de amenazas tomó amplias medidas para evitar la creación de tales patrones.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática