La firma de seguridad FireEye confirmó que delincuentes informáticos, que se cree que operan en nombre de un gobierno extranjero, han violado el proveedor de software SolarWinds y luego implementaron una actualización con malware para su software Orion para infectar las redes de múltiples empresas estadounidenses y redes gubernamentales.

El ataque a la cadena de suministro de SolarWinds también es la forma en que los atacantes obtuvieron acceso a la propia red de FireEye, que la compañía reveló a principios de esta semana pasada.

El informe de FireEye se produce después de que Reuters, Washington Post, y Wall Street Journal informaron sobre las intrusiones del domingo en el Departamento del Tesoro de EE.UU. y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE.UU.

The Washington Post citó fuentes que afirman que muchas otras agencias gubernamentales también se vieron afectadas. Reuters informó que el incidente se consideró tan grave que llevó a una rara reunión del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca, un día antes, el sábado.

Fuentes que hablaron con el Washington Post vincularon la intrusión a APT29, un nombre en clave utilizado por la industria de la seguridad cibernética para describir a los atacantes asociados con el Servicio de Inteligencia Exterior de Rusia (SVR). FireEye no confirmó la atribución de APT29 y le dio al grupo un nombre en clave neutral de UNC2452, aunque varias fuentes en la comunidad de ciberseguridad le dijeron a ZDNet que la atribución de APT29, realizada por el gobierno de los EE.UU., es probablemente correcta, según la evidencia actual.

SolarWinds.Orion.Core.BusinessLayer.dll es un componente firmado digitalmente de SolarWinds y contiene una puerta trasera que se comunica a través de HTTP a servidores de terceros. Se está rastreando la versión troyanizada de este complemento de SolarWinds Orion como SUNBURST.

Después de un período inactivo de hasta dos semanas, el malware intentará resolver un subdominio de avsvmcloud[.]com. La respuesta de DNS devolverá un registro CNAME que apunta a un dominio de comando y control (C2). El tráfico C2 a los dominios maliciosos está diseñado para imitar las comunicaciones API de SolarWinds normales. La lista de infraestructura maliciosa conocida está disponible en la página de GitHub de FireEye. Sus "jobs" recuperan y ejecutan comandos que incluyen la capacidad de transferir archivos, ejecutar archivos, perfilar el sistema, reiniciar la máquina y deshabilitar los servicios del sistema.

El malware disfraza su tráfico de red como el protocolo del Programa de mejora de Orion (OIP) y almacena los resultados del reconocimiento en archivos de configuración de complementos legítimos, lo que le permite integrarse con la actividad legítima de SolarWinds. La puerta trasera utiliza múltiples listas de bloqueo ofuscadas para identificar herramientas forenses y antivirus que se ejecutan como procesos, servicios y controladores.

En las alertas de seguridad enviadas a sus clientes en privado el domingo, Microsoft también confirmó el compromiso de SolarWinds y proporcionó contramedidas a los clientes que pueden haber sido afectados.

Varias actualizaciones troyanizaads se firmaron digitalmente de marzo a mayo de 2020 y se publicaron en el sitio web de actualizaciones de SolarWinds, que incluyen: hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp.

El archivo de actualización troyano es un archivo de revisión estándar de Windows Installer que incluye recursos comprimidos asociados con la actualización, incluido el componente Trojanizado SolarWinds.Orion.Core.BusinessLayer.dll. Una vez instalada la actualización, el archivo DLL malicioso será cargado por SolarWinds.BusinessLayerHost.exe o SolarWinds.BusinessLayerHostx64.exe legítimo (según la configuración del sistema).

SolarWinds publicó un comunicado de prensa a última hora del domingo admitiendo la violación de Orion, una plataforma de software para el monitoreo y la administración centralizados, generalmente empleada en grandes redes para realizar un seguimiento de todos los recursos de TI, como servidores, estaciones de trabajo, dispositivos móviles y dispositivos de IoT.

La empresa dijo que las versiones de actualización de Orion 2019.4 a 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020, se han contaminado con malware. FireEye nombró a este malware SUNBURST y publicó un informe técnico, junto con las reglas de detección en GitHub.

Microsoft nombró al malware Solorigate y agregó reglas de detección a su antivirus Defender. Por ahora No se reveló el número de víctimas.

A pesar de los informes iniciales del domingo y la campaña de atacas no parece haber estado dirigida específicamente a Estados Unidos. "La campaña está muy extendida y afecta a organizaciones públicas y privadas de todo el mundo. Las víctimas han incluido entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente. Anticipamos que habrá víctimas adicionales en otros países y verticales", dijo FireEye.

SolarWinds dijo que planea lanzar una nueva actualización (2020.2.1 HF 2) el martes 15 de diciembre, que "reemplaza el componente comprometido y proporciona varias mejoras de seguridad adicionales".

La Agencia de Infraestructura y Ciberseguridad de EE.UU. (CISA) también emitió una directiva de emergencia con instrucciones sobre cómo las agencias gubernamentales pueden detectar y analizar sistemas comprometidos con el malware SUNBURST.

Fuente: ZDNet | Fireeye