Hace casi exactamente un año, los investigadores de seguridad descubrieron una de las peores violaciones de datos en la historia moderna, si no alguna vez: una campaña de piratería respaldada por el Kremlin que comprometió los servidores del proveedor de administración de red SolarWinds y, a partir de ahí, las redes de 100 de sus niveles más altos. -perfil de clientes, incluidas nueve agencias federales de EE. UU.
Nobelium, el nombre que Microsoft dio a los intrusos, fue finalmente expulsado, pero el grupo nunca se rindió y, posiblemente, solo se ha vuelto más descarado y experto en piratear un gran número de objetivos de un solo golpe. El último recordatorio de la competencia del grupo proviene de la firma de seguridad Mandiant, que el lunes investigación publicada detallando las numerosas hazañas de Nobelium, y algunos errores, mientras continuaba violando las redes de algunos de sus objetivos de mayor valor.
Abusar de la confianza
Una de las cosas que hizo a Nobelium tan formidable fue la creatividad de sus TTP, la jerga de los piratas informáticos para las tácticas, técnicas y procedimientos. En lugar de irrumpir en cada objetivo uno por uno, el grupo pirateó la red de SolarWinds y utilizó el acceso y la confianza que los clientes tenían en la empresa para enviar una actualización maliciosa a aproximadamente 18.000 de sus clientes.
Casi instantáneamente, los piratas informáticos podrían inmiscuirse en las redes de todas esas entidades. Sería similar a un ladrón irrumpiendo en las instalaciones de un cerrajero y obtener una llave maestra que abriera las puertas de todos los edificios del vecindario, evitándose la molestia de tener que abrir con palancas cada cerradura. El método de Nobelium no solo fue escalable y eficiente, sino que también hizo que los compromisos masivos fueran mucho más fáciles de ocultar.
El informe de Mandiant muestra que el ingenio de Nobelium no ha flaqueado. Desde el año pasado, los investigadores de la compañía dicen que los dos grupos de piratería vinculados al ataque de SolarWinds, uno llamado UNC3004 y el otro UNC2652, han seguido ideando nuevas formas de comprometer un gran número de objetivos de manera eficiente.
En lugar de envenenar la cadena de suministro de SolarWinds, los grupos comprometieron las redes de proveedores de soluciones en la nube y proveedores de servicios administrados, o CSP, que son empresas de terceros subcontratadas en las que muchas grandes empresas confían para una amplia gama de servicios de TI. Luego, los piratas informáticos encontraron formas inteligentes de utilizar a esos proveedores comprometidos para entrometerse en sus clientes.
“Esta actividad de intrusión refleja un conjunto de actores de amenazas con recursos suficientes que opera con un alto nivel de preocupación por la seguridad operativa”, dijo el informe del lunes. “El abuso de un tercero, en este caso un CSP, puede facilitar el acceso a una amplia gama de víctimas potenciales a través de un único compromiso”.
Tradecraft avanzado
El oficio avanzado no se detuvo allí. Según Mandiant, otras tácticas e ingenios avanzados incluyeron:
- Uso de credenciales robadas por piratas informáticos con motivaciones económicas que utilizan malware como Cryptbot, un ladrón de información que recolecta credenciales de sistemas y navegadores web y billeteras de criptomonedas. La asistencia de estos piratas informáticos permitió que UNC3004 y UNC2652 pusieran en peligro objetivos incluso cuando no utilizaban un proveedor de servicios pirateado.
- Una vez que los grupos de piratas informáticos estaban dentro de una red, pusieron en peligro los filtros de correo no deseado de la empresa u otro software con “privilegios de suplantación de la aplicación”, que tienen la capacidad de acceder al correo electrónico u otros tipos de datos desde cualquier otra cuenta en la red comprometida. Hackear esta única cuenta le ahorró la molestia de tener que ingresar a cada cuenta individualmente.
- El abuso de servicios proxy residenciales legítimos o proveedores de nube geolocalizados como Azure para conectarse a objetivos finales. Cuando los administradores de las empresas pirateadas revisaron los registros de acceso, vieron conexiones provenientes de ISP locales con buena reputación o proveedores en la nube que se encontraban en la misma geografía que las empresas. Esto ayudó a disimular las intrusiones, ya que los piratas informáticos patrocinados por países utilizan con frecuencia direcciones IP dedicadas que despiertan sospechas.
- Formas inteligentes de eludir las restricciones de seguridad, como extraer máquinas virtuales para determinar las configuraciones de enrutamiento interno de las redes que querían piratear.
- Obtener acceso a un directorio activo almacenado en la cuenta de Azure de un objetivo y usar esta herramienta de administración todopoderosa para robar claves criptográficas que generarían tokens que podrían eludir las protecciones de autenticación de dos factores. Esta técnica les dio a los intrusos lo que se conoce como SAML dorado, que es similar a una llave maestra que desbloquea todos los servicios que utilizan el Lenguaje de marcado de afirmación de seguridad, que es el protocolo que hace que el inicio de sesión único, 2FA y otros mecanismos de seguridad funcionen.
- Uso de un descargador personalizado denominado Ceeloader.