Aproximadamente 18.000 organizaciones de todo el mundo descargaron herramientas de gestión de red que contenían una puerta trasera que un estado nacional usaba para instalar malware en organizaciones que usaban el software, dijo el lunes el proveedor de herramientas SolarWinds.
La divulgación de SolarWinds, con sede en Austin, Texas, se produjo un día después de que el gobierno de los EE. UU. Revelara una importante brecha de seguridad que afecta a agencias federales y empresas privadas. Los Departamentos del Tesoro, Comercio y Seguridad Nacional de EE. UU. Se encontraban entre las agencias federales en el extremo receptor de los ataques que daban acceso al correo electrónico y otros recursos sensibles, informó Reuters. Las agencias federales que utilizan el software recibieron instrucciones el domingo de desconectar los sistemas que ejecutan el software y realizar un análisis forense de sus redes.
La firma de seguridad FireEye, que la semana pasada reveló una violación grave de su propia red, dijo que los piratas informáticos respaldados por un estado-nación comprometieron un mecanismo de actualización de software SolarWinds y luego lo usaron para infectar a clientes seleccionados que instalaron una versión trasera de la administración de red Orion de la compañía. herramienta.
Los clientes infectados por la puerta trasera que instalaron una actualización de marzo a junio de este año, dijo SolarWinds en un documento presentado el lunes ante la Comisión de Bolsa y Valores. El implante «se introdujo como resultado de un compromiso del sistema de compilación de software Orion y no estaba presente en el repositorio de código fuente de los productos Orion», dijo la presentación del lunes. SolarWinds, que dijo que tiene unos 300.000 clientes de Orion, calculó el número de clientes afectados en unos 18.000.
Robar las llaves maestras
Varios factores hicieron de Orion un trampolín ideal hacia las redes codiciadas por los piratas informáticos respaldados por Rusia, que durante la última década se han convertido en una de las amenazas más formidables para la seguridad cibernética de EE. UU. Mike Chapple, profesor de TI, análisis y operaciones en la Universidad de Notre Dame, dijo que la herramienta se usa ampliamente para administrar enrutadores, conmutadores y otros dispositivos de red dentro de grandes organizaciones. El nivel de acceso privilegiado junto con la cantidad de redes expuestas hicieron de Orion la herramienta perfecta para que los hackers la explotaran.
«SolarWinds por su naturaleza tiene un acceso muy privilegiado a otras partes de su infraestructura», dijo Chapple, un ex científico informático de la Agencia de Seguridad Nacional, en una entrevista. “Puede pensar que SolarWinds tiene las claves maestras de su red y, si puede comprometer ese tipo de herramienta, puede usar ese tipo de claves para obtener acceso a otras partes de la red. Al comprometer eso, tiene una clave básicamente para desbloquear la infraestructura de red de una gran cantidad de organizaciones «.
Los ataques son parte de lo que el gobierno federal y los funcionarios de FireEye, Microsoft y otras empresas privadas dijeron que era una campaña de espionaje generalizada que un sofisticado actor de amenazas estaba llevando a cabo a través de un ataque a la cadena de suministro.
En la publicación del blog FireEye publicada el domingo por la noche, la compañía dijo que descubrió una campaña de intrusión global que utilizó el mecanismo de actualización de SolarWinds con puerta trasera como una entrada inicial «a las redes de organizaciones públicas y privadas a través de la cadena de suministro de software». Publicaciones, incluidas The Washington Post y The New York Times, citaron a funcionarios gubernamentales anónimos que dijeron que Cozy Bear, un grupo de piratas informáticos que se cree que forma parte del Servicio Federal de Seguridad de Rusia (FSB), estaba detrás de los compromisos.
«Según nuestro análisis, ahora hemos identificado varias organizaciones en las que vemos indicios de compromiso que se remontan a la primavera de 2020, y estamos en el proceso de notificar a esas organizaciones», escribieron los funcionarios de FireEye. “Nuestro análisis indica que estos compromisos no se autopropagan; cada uno de los ataques requiere una planificación meticulosa e interacción manual. Nuestra investigación en curso descubrió esta campaña y estamos compartiendo esta información de acuerdo con nuestra práctica estándar «.
En una publicación separada también publicada el domingo por la noche, FireEye agregó: “FireEye ha descubierto una campaña generalizada, que estamos rastreando como UNC2452. Los actores detrás de esta campaña obtuvieron acceso a numerosas organizaciones públicas y privadas de todo el mundo. Obtuvieron acceso a las víctimas a través de actualizaciones troyanizadas del software de gestión y supervisión de TI Orion de SolarWind. Esta campaña puede haber comenzado ya en la primavera de 2020 y actualmente está en curso. La actividad posterior al compromiso después de este compromiso de la cadena de suministro ha incluido el movimiento lateral y el robo de datos. La campaña es obra de un actor altamente calificado y la operación se llevó a cabo con una seguridad operativa significativa ”.
FireEye continuó diciendo que un componente firmado digitalmente del marco Orion contenía una puerta trasera que se comunica con servidores controlados por piratas informáticos. La puerta trasera, plantada en el archivo de biblioteca de vínculos dinámicos de Windows SolarWinds.Orion.Core.BusinessLayer.dll, se escribió para permanecer sigilosa, permaneciendo inactiva durante un par de semanas y luego mezclándose con el tráfico de datos legítimo de SolarWinds. Los investigadores de FireEye escribieron:
El archivo de actualización troyano es un archivo de revisión estándar de Windows Installer que incluye recursos comprimidos asociados con la actualización, incluido el componente Trojanizado SolarWinds.Orion.Core.BusinessLayer.dll. Una vez instalada la actualización, el archivo DLL malicioso será cargado por SolarWinds.BusinessLayerHost.exe o SolarWinds.BusinessLayerHostx64.exe legítimo (según la configuración del sistema). Después de un período inactivo de hasta dos semanas, el malware intentará resolver un subdominio de avsvmcloud[.]com. La respuesta de DNS devolverá un registro CNAME que apunta a un dominio de comando y control (C2). El tráfico C2 a los dominios maliciosos está diseñado para imitar las comunicaciones API de SolarWinds normales. La lista de infraestructura maliciosa conocida está disponible en la página de GitHub de FireEye.
Enterrando más
La puerta trasera de Orion, que FireEye llama Sunburst y Microsoft llama Solorigate, les dio a los piratas informáticos el acceso limitado pero crucial a los dispositivos de red internos. Luego, los piratas informáticos utilizaron otras técnicas para profundizar más. Según Microsoft, los piratas informáticos luego robaron certificados de firma que les permitieron hacerse pasar por cualquiera de los usuarios y cuentas existentes de un objetivo a través del lenguaje de marcado de aserción de seguridad. Normalmente abreviado como SAML, el lenguaje basado en XML proporciona una forma para que los proveedores de identidad intercambien datos de autenticación y autorización con los proveedores de servicios.
El aviso de Microsoft declaró:
- Una intrusión a través de código malicioso en el producto SolarWinds Orion. Esto da como resultado que el atacante se establezca en la red, que el atacante puede usar para obtener credenciales elevadas. Microsoft Defender ahora tiene detecciones para estos archivos. Además, consulte el Aviso de seguridad de SolarWinds.
- Un intruso que usa permisos administrativos adquiridos a través de un compromiso local para obtener acceso al certificado de firma de tokens SAML confiable de una organización. Esto les permite falsificar tokens SAML que se hacen pasar por cualquiera de los usuarios y cuentas existentes de la organización, incluidas las cuentas con privilegios elevados.
- Inicios de sesión anómalos que utilizan los tokens SAML creados por un certificado de firma de tokens comprometido, que se pueden usar contra cualquier recurso local (independientemente del sistema de identidad o proveedor), así como contra cualquier entorno de nube (independientemente del proveedor) porque se han configurado confiar en el certificado. Debido a que los tokens SAML están firmados con su propio certificado de confianza, la organización puede pasar por alto las anomalías.
- Al usar cuentas con muchos privilegios adquiridas a través de la técnica anterior u otros medios, los atacantes pueden agregar sus propias credenciales a los principales de servicio de aplicaciones existentes, lo que les permite llamar a las API con el permiso asignado a esa aplicación.
Los ataques a la cadena de suministro se encuentran entre los más difíciles de contrarrestar porque se basan en software que ya es confiable y está ampliamente distribuido. La presentación del lunes por la mañana de SolarWinds sugiere que los piratas informáticos de Cozy Bear tenían la capacidad de infectar las redes a unos 18.000 de los clientes de la empresa. Todavía no está claro cuántos de esos usuarios elegibles fueron realmente pirateados.
La Infraestructura de Ciberseguridad y la Agencia de Seguridad de Infraestructura del Departamento de Seguridad Nacional ha emitido una directiva de emergencia que instruye a las agencias federales que usan productos SolarWinds para analizar sus redes en busca de señales de compromiso. La publicación de FireEye aquí enumera una variedad de firmas y otros indicadores que los administradores pueden usar para detectar infecciones.