Los actores patrocinados por el estado que supuestamente trabajan para Rusia se han dirigido al Tesoro de los EE. UU., la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio y otras agencias gubernamentales para monitorear el tráfico de correo electrónico interno como parte de una campaña generalizada de ciberespionaje.
The Washington Post, citando fuentes no identificadas, dijo que los últimos ataques fueron obra de APT29 o Cozy Bear, el mismo grupo de piratería que se cree que orquestó una violación de la firma de seguridad cibernética FireEye con sede en EE. UU. hace unos días que condujo al robo de su Red Herramientas de prueba de penetración en equipo.
El motivo y el alcance completo de qué inteligencia se vio comprometida sigue sin estar claro, pero hay indicios de que los adversarios manipularon una actualización de software lanzada por el proveedor de infraestructura de TI con sede en Texas SolarWinds a principios de este año para infiltrarse en los sistemas de las agencias gubernamentales, así como en FireEye y montar un ataque altamente sofisticado a la cadena de suministro.
«El compromiso de los productos de gestión de red Orion de SolarWinds plantea riesgos inaceptables para la seguridad de las redes federales», dijo Brandon Wales, director interino de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que ha publicado una directiva de emergencia, instando a las agencias civiles federales para revisar sus redes en busca de actividad sospechosa y desconectar o apagar los productos SolarWinds Orion de inmediato.
Los productos de red y seguridad de SolarWinds son utilizados por más de 300.000 clientes en todo el mundo, incluidas empresas de Fortune 500, agencias gubernamentales e instituciones educativas.
También sirve a varias de las principales empresas de telecomunicaciones de EE. UU., las cinco ramas de las Fuerzas Armadas de EE. UU. y otras organizaciones gubernamentales destacadas, como el Pentágono, el Departamento de Estado, la NASA, la Agencia de Seguridad Nacional (NSA), el Servicio Postal, la NOAA, el Departamento de Justicia y el Oficina del Presidente de los Estados Unidos.
Una campaña evasiva para distribuir la puerta trasera SUNBURST
FireEye, que está rastreando la campaña de intrusión en curso bajo el nombre de «UNC2452», dijo que el ataque a la cadena de suministro aprovecha las actualizaciones del software comercial SolarWinds Orion con troyanos para distribuir una puerta trasera llamada SUNBURST.
“Esta campaña puede haber comenzado ya en la primavera de 2020 y actualmente está en curso”, dijo FireEye en un análisis del domingo. «La actividad posterior al compromiso después de este compromiso de la cadena de suministro ha incluido movimiento lateral y robo de datos. La campaña es el trabajo de un actor altamente calificado y la operación se llevó a cabo con una seguridad operativa significativa».
Se dice que esta versión maliciosa del complemento SolarWinds Orion, además de enmascarar su tráfico de red como el protocolo del Programa de mejora de Orion (OIP), se comunica a través de HTTP con servidores remotos para recuperar y ejecutar comandos maliciosos («Trabajos») que cubren el gama de software espía, incluidos aquellos para transferir archivos, ejecutar archivos, crear perfiles y reiniciar el sistema de destino, y deshabilitar los servicios del sistema.
El Programa de mejora de Orion u OIP se utiliza principalmente para recopilar datos de estadísticas de uso y rendimiento de los usuarios de SolarWinds con fines de mejora del producto.
Además, las direcciones IP utilizadas para la campaña fueron ofuscadas por servidores VPN ubicados en el mismo país que la víctima para evadir la detección.
Microsoft también corroboró los hallazgos en un análisis separado, afirmando que el ataque (al que llama «Solorigate») aprovechó la confianza asociada con el software SolarWinds para insertar código malicioso como parte de una campaña más grande.
«Se incluyó una clase de software malicioso entre muchas otras clases legítimas y luego se firmó con un certificado legítimo», dijo el fabricante de Windows. El binario resultante incluía una puerta trasera y luego se distribuía discretamente en organizaciones específicas».
SolarWinds publica aviso de seguridad
En un aviso de seguridad publicado por SolarWinds, la compañía dijo que el ataque apunta a las versiones 2019.4 a 2020.2.1 del software SolarWinds Orion Platform que se lanzó entre marzo y junio de 2020, y recomendó a los usuarios que actualicen a Orion Platform versión 2020.2.1 HF 1 de inmediato. .
También se espera que la empresa, que actualmente está investigando el ataque en coordinación con FireEye y la Oficina Federal de Investigaciones de EE. UU., lance una revisión adicional, 2020.2.1 HF 2, el 15 de diciembre, que reemplaza el componente comprometido y brinda seguridad adicional. mejoras
FireEye reveló la semana pasada que fue víctima de un ataque altamente sofisticado de un gobierno extranjero que comprometió sus herramientas de software utilizadas para probar las defensas de sus clientes.
Con un total de 60, las herramientas robadas del Equipo Rojo son una combinación de herramientas disponibles públicamente (43 %), versiones modificadas de herramientas disponibles públicamente (17 %) y aquellas que fueron desarrolladas internamente (40 %).
Además, el robo también incluye cargas útiles de explotación que aprovechan vulnerabilidades críticas en Pulse Secure SSL VPN (CVE-2019-11510), Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) y Windows. Servicios de escritorio remoto (CVE-2019-0708).
La campaña, en última instancia, parece ser un ataque a la cadena de suministro a escala global, ya que FireEye dijo que detectó esta actividad en varias entidades en todo el mundo, que abarcan empresas gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y el medio Oriente.
Se puede acceder a los indicadores de compromiso (IoC) y otras firmas de ataques relevantes diseñadas para contrarrestar SUNBURST aquí.
