Ciberataque a SolarWinds pone en riesgo a compañías

Desafortunadamente ayer fue un día difícil para la comunidad de infosec en el mundo, y se prevén días iguales o más complicados.
La famosa compañía SolarWinds sufre un ciberataque “extremadamente dirigido” y con ello pone en alto riesgo a la amplia lista de clientes con los que colaboran.

“…la solución de SolarWinds Orion fue modificada agregando código malicioso…”

SolarWinds el día de ayer a través de un comunicado informó haber sufrido un “ataque manual y altamente sofisticado a la cadena de suministro en el software SolarWinds® Orion® Platform para las versiones 2019.4 HF 5 y 2020.2 sin revisión o 2020.2 HF 1” . Informan que posiblemente fue realizado por un estado nacional extranjero.

SolarWinds Orion es un software de monitoreo y administración de redes muy usado por diversos clientes en el mundo, por lo que este ciberataque pondría en riesgo a todas estas compañías . Simplemente de la lista de de Fortune 500, 425 empresas utilizan este software.

Para poder hacerse una idea del posible impacto que este incidente tendría en el mundo, habría que entender que, por ejemplo, el Gobierno del Reino Unido es un cliente importante de SolarWinds, por lo que el sector salud de este gobierno podría estar expuesto. Agencias de salud y empresas como AstraZeneca, las cuales se encuentran trabajando en una posible vacuna COVID-19, tienen sus bases en Reino Unido.

Si bien todavía no se confirma quién está como responsable detrás de este ciberataque, algunos medios informan que el grupo APT29, un grupo de cibercriminales relacionado con el gobierno ruso, podría estar involucrado.

Detalles técnicos

Fireeye publicó el día de ayer un reporte técnico que detalla las características de esta amenaza. Tal y como se describe en el reporte, la solución de SolarWinds Orion fue modificada agregando código malicioso el cual fue distribuido como actualizaciones a este programa.
El código malicioso relacionado se compone de múltiples herramientas.

SUNBURST es el nombre del troyano embebido en el código base firmado , usado para la obtención del acceso inicial y distribuido a través de una liberación de actualizaciones oficial.

“SolarWinds.Orion.Core.BusinessLayer.dll is a SolarWinds digitally-signed component of the Orion software framework that contains a backdoor that communicates via HTTP to third party servers. We are tracking the trojanized version of this SolarWinds Orion plug-in as SUNBURST.”

Después de un periodo de inactividad de hasta dos semanas, este código malicioso realiza un reconocimiento local de las defensas instaladas que podrían interrumpir su cometido, para después comunicarse con sus servidores de comando y control y así obtener instrucciones adicionales o descargar otros payloads.

Además, se observaron en algunas muestras el uso de payloads secundarios para lanzar malware como Cobalt Strike BEACON (la cual se cree que es una versión modificada) para lograr movimientos laterales.

Recomendaciones

1. Si es posible realizar una actualización, SolarWinds acaba de publicar nuevos parches , por lo que llama a sus clientes a actualizar a:
   -Orion Platform 2020.2.1 HF 1 para usuarios de Orion Platform v2020.2 with no hotfix or 2020.2 HF 1
   -Orion Platform 2019.4 HF 6 para usuarios de Orion Platform v2019.4 HF 5
2. Si no es posible realizar una actualización, Fireeye y CISA recomiendan bloquear todo el tráfico hacia y desde los equipos que tienen SolarWinds Orion Instalado o por lo menos restringir esta comunicación tal y como se describe en el reporte de Fireeye.
3. Verificar si existe rastro de .net web shells (SUPERNOVA) en servidores de gestión de Orion.
4. Fireeye en su sitio de GitHub publicó recursos técnicos como YARA rules, los cuales pueden ser usados para detectar esta amenaza.
5. Monitorear el tráfico de red. Puedes apoyarte en herramientas que utilizan técnicas como machine learning para la detección de anomalías y amenazas.
6. Validar que los controles compensatorios (NGFW, IPS, EDR, etc.) sean capaces de detener esta amenaza.
   Algunos fabricantes publican guías donde detallan paso por paso cómo prevenir y detectar este tipo de amenazas.
   También existen soluciones de simulación de ataques que ponen a prueba con muestras o escenarios de ataques reales estos controles tecnológicos, otorgando mayor visibilidad y certeza.
7. Cambiar las credenciales de las cuentas que tienen acceso a la infraestructura de SolarWinds Orion.
8. Si SolarWinds es usado para administrar infraestructura de red, revisar la configuración de estos dispositivos y validar que no existan modificaciones no autorizadas/esperadas.

Campaña UNC2452

FireEye se encuentra trabajando en la investigación de una campaña global maliciosa, identificada como UNC2452.
Se cree que el grupo detrás de esta campaña podría estar utilizando la versión modificada con código malicioso de SolarWinds Orion para acceder a múltiples organizaciones públicas y privadas al rededor del mundo.

No cabe duda de que podrían esperarnos días difíciles. No queda de otra más que estar en constante alerta y al pendiente de todos los detalles que pudieran salir más adelante.

Referencias

• Gallagher, R., & Donaldson, K. (2020). Agencias de inteligencia a nivel mundial evalúan los daños causados ​​por hackeo que afectó a EU. Retrieved December 15, 2020, from https://www.elfinanciero.com.mx/mundo/agencias-de-inteligencia-a-nivel-mundial-evaluan-los-danos-causados-por-hackeo-que-afecto-a-eu
• FireEye, F. (2020, December 13). Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor. Retrieved December 15, 2020, from https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
• Gerritz, C., & Mills, C. (2020, December 15). Hunting for SolarWinds Orion Compromises. Retrieved December 15, 2020, from https://www.infocyte.com/blog/2020/12/14/hunting-for-solarwinds-orion-compromises/