Alrededor de 18.000 organizaciones de todo el mundo descargaron herramientas de gestión de red que contenían una puerta trasera que un estado nacional usaba para instalar malware que robaba datos confidenciales, dijo el lunes el proveedor de herramientas SolarWinds.
La divulgación de SolarWinds, con sede en Austin, Texas, se produjo un día después de que el gobierno de EE. UU. Revelara una importante brecha de seguridad que afecta a agencias federales y empresas privadas. Los Departamentos del Tesoro, Comercio y Seguridad Nacional de EE. UU. Se encontraban entre las agencias federales en el extremo receptor de los ataques que daban acceso al correo electrónico y otros recursos sensibles. Las agencias federales que utilizan el software recibieron instrucciones el domingo de desconectar los sistemas que ejecutan el software y realizar un análisis forense de sus redes.
La firma de seguridad FireEye, que la semana pasada reveló una violación grave de su propia red, dijo que los piratas informáticos respaldados por un estado nacional comprometieron un mecanismo de actualización de software SolarWinds y luego lo usaron para infectar a clientes seleccionados que instalaron una versión trasera de la herramienta de administración de red Orion de la compañía. .
Los clientes infectados por la puerta trasera que instalaron una actualización de marzo a junio de este año, dijo SolarWinds en un documento presentado el lunes con la Comisión de Bolsa y Valores. SolarWinds, que dijo tener unos 300.000 clientes de Orion, calculó el número de clientes afectados en unos 18.000.
Robar las llaves maestras
Varios factores hicieron de Orion un trampolín ideal hacia las redes codiciadas por los piratas informáticos respaldados por Rusia, que durante la última década se han convertido en una de las amenazas más formidables para la seguridad cibernética de Estados Unidos. Mike Chapple, profesor de TI, análisis y operaciones en la Universidad de Notre Dame, dijo que la herramienta se usa ampliamente para administrar enrutadores, conmutadores y otros dispositivos de red dentro de grandes organizaciones. El nivel de acceso privilegiado junto con la cantidad de redes expuestas hicieron de Orion la herramienta perfecta para que los hackers la explotaran.
“SolarWinds por su naturaleza tiene un acceso muy privilegiado a otras partes de su infraestructura”, dijo Chapple, un ex científico informático de la Agencia de Seguridad Nacional, en una entrevista. “Puede pensar en SolarWinds como si tuviera las claves maestras de su red, y si puede comprometer ese tipo de herramienta, puede usar ese tipo de claves para obtener acceso a otras partes de la red. Al comprometer eso, tiene una clave básicamente para desbloquear la infraestructura de red de una gran cantidad de organizaciones “.
Los ataques son parte de lo que el gobierno federal y funcionarios de FireEye, Microsoft y otras empresas privadas dijeron que era una campaña de espionaje generalizada que un sofisticado actor de amenazas estaba llevando a cabo a través de un ataque a la cadena de suministro.
En entrada en el blog FireEye publicó el domingo por la noche, la compañía dijo que descubrió una campaña de intrusión global que utilizó el mecanismo de actualización de SolarWinds con puerta trasera como una entrada inicial “a las redes de organizaciones públicas y privadas a través de la cadena de suministro de software”. Publicaciones, incluidas El Washington Post y Los New York Times—Citaron funcionarios gubernamentales no identificados que dijeron que Cozy Bear, un grupo de piratas informáticos que se cree que es parte del Servicio Federal de Seguridad de Rusia (FSB) estaba detrás de los compromisos.
“Según nuestro análisis, ahora hemos identificado varias organizaciones en las que vemos indicios de compromiso que se remontan a la primavera de 2020, y estamos en el proceso de notificar a esas organizaciones”, escribieron los funcionarios de FireEye. “Nuestro análisis indica que estos compromisos no se autopropagan; cada uno de los ataques requiere una planificación meticulosa e interacción manual. Nuestra investigación en curso descubrió esta campaña y estamos compartiendo esta información de acuerdo con nuestra práctica estándar “.
en un publicación separada También publicado el domingo por la noche, FireEye agregó: “FireEye ha descubierto una campaña generalizada, que estamos rastreando como UNC2452. Los actores detrás de esta campaña obtuvieron acceso a numerosas organizaciones públicas y privadas de todo el mundo. Obtuvieron acceso a las víctimas a través de actualizaciones troyanizadas del software de gestión y supervisión de TI Orion de SolarWind. Esta campaña puede haber comenzado ya en la primavera de 2020 y actualmente está en curso. La actividad posterior al compromiso después de este compromiso de la cadena de suministro ha incluido el movimiento lateral y el robo de datos. La campaña es obra de un actor altamente calificado y la operación se llevó a cabo con una seguridad operativa significativa ”.
FireEye continuó diciendo que un componente firmado digitalmente del marco Orion contenía una puerta trasera que se comunicaba con servidores controlados por piratas informáticos. La puerta trasera, plantada en el archivo de biblioteca de vínculos dinámicos de Windows SolarWinds.Orion.Core.BusinessLayer.dll, se escribió para permanecer sigilosa, permaneciendo inactiva durante un par de semanas y luego mezclarse con el tráfico de datos legítimo de SolarWinds. Los investigadores de FireEye escribieron:
El archivo de actualización troyano es un archivo de revisión estándar de Windows Installer que incluye recursos comprimidos asociados con la actualización, incluido el componente Trojanizado SolarWinds.Orion.Core.BusinessLayer.dll. Una vez instalada la actualización, el archivo DLL malicioso será cargado por SolarWinds.BusinessLayerHost.exe o SolarWinds.BusinessLayerHostx64.exe legítimo (según la configuración del sistema). Después de un período inactivo de hasta dos semanas, el malware intentará resolver un subdominio de avsvmcloud[.]com. La respuesta de DNS devolverá un registro CNAME que apunta a un dominio de comando y control (C2). El tráfico C2 a los dominios maliciosos está diseñado para imitar las comunicaciones API de SolarWinds normales. La lista de infraestructura maliciosa conocida está disponible en FireEye Página de GitHub.
Enterrando más
La puerta trasera de Orion, que FireEye llama Sunburst y Microsoft llama Solorigate, les dio a los piratas informáticos el acceso limitado pero crucial a los dispositivos de red internos. Luego, los piratas informáticos utilizaron otras técnicas para profundizar más. Según Microsoft, los piratas informáticos luego robaron certificados de firma que les permitieron hacerse pasar por cualquiera de los usuarios y cuentas existentes de un objetivo a través del Lenguaje de marcado de afirmación de seguridad. Normalmente abreviado como SAML, el lenguaje basado en XML proporciona una forma para que los proveedores de identidad intercambien datos de autenticación y autorización con los proveedores de servicios.
El aviso de Microsoft declaró:
- Una intrusión a través de código malicioso en el producto SolarWinds Orion. Esto da como resultado que el atacante se establezca en la red, que el atacante puede usar para obtener credenciales elevadas. Microsoft Defender ahora tiene detecciones para estos archivos. Ver también Aviso de seguridad de SolarWinds.
- Un intruso que usa permisos administrativos adquiridos a través de un compromiso local para obtener acceso al certificado de firma de tokens SAML confiable de una organización. Esto les permite falsificar tokens SAML que se hacen pasar por cualquiera de los usuarios y cuentas existentes de la organización, incluidas las cuentas con privilegios elevados.
- Inicios de sesión anómalos que utilizan los tokens SAML creados por un certificado de firma de tokens comprometido, que se pueden usar contra cualquier recurso local (independientemente del sistema de identidad o proveedor), así como contra cualquier entorno de nube (independientemente del proveedor) porque se han configurado confiar en el certificado. Debido a que los tokens SAML están firmados con su propio certificado de confianza, la organización puede pasar por alto las anomalías.
- Al utilizar cuentas con muchos privilegios adquiridas a través de la técnica anterior u otros medios, los atacantes pueden agregar sus propias credenciales a los principales de servicio de aplicaciones existentes, lo que les permite llamar a las API con el permiso asignado a esa aplicación.
Los ataques a la cadena de suministro se encuentran entre los más difíciles de contrarrestar porque se basan en software que ya es confiable y está ampliamente distribuido. La presentación de SolarWinds el lunes por la mañana sugiere que los piratas informáticos de Cozy Bear tenían la capacidad de infectar las redes a unos 18,000 de los clientes de la compañía. Todavía no está claro cuántos de esos usuarios elegibles fueron realmente pirateados.
La Agencia de Seguridad de Infraestructura e Infraestructura de Ciberseguridad del Departamento de Seguridad Nacional ha emitido un directiva de emergencia instruir a las agencias federales que utilizan productos SolarWinds para que analicen sus redes en busca de señales de compromiso. Publicación de FireEye aquí enumera una variedad de firmas y otros indicadores que los administradores pueden usar para detectar infecciones.