¿Quién es Solarwinds?
Solarwinds es uno de los muchos programas de monitorización de redes aparentemente inocuos. Con unos ingresos de poco menos de mil millones de dólares, no se trata de un gigante de la industria como IBM o Microsoft. Y, sin embargo, Solarwinds fue el catalizador de una serie de brechas en la red como no se habían visto en mucho tiempo, si es que se han visto alguna vez.
¿Qué ha pasado?
Varios departamentos del gobierno se vieron comprometidos, incluidos los departamentos del Tesoro, Seguridad Nacional, Comercio, Defensa, Energía, Estado y Sanidad. FireEye, una gran empresa de ciberseguridad, también se vio comprometida. En el sector privado, Cisco, Intel, VMware, Microsoft y Nvidia, entre otros, también sufrieron ataques. En total, el malware ha penetrado potencialmente en miles de organizaciones. No se limitó a Estados Unidos; Europa, Asia y Oriente Medio también se vieron afectados.
¿Qué significa esto para usted y para mí?
A menos que te dediques a operaciones de ciberseguridad (y si es así... te damos el pésame), las principales preocupaciones son: interferencia con el gobierno, robo de propiedad intelectual e interrupción de las operaciones. En concreto, los datos de hardware siguen a los datos de los empleados, que a su vez siguen a los datos de la empresa. Con acceso al hardware, los malos actores pueden hacer cosas como interferir en la infraestructura energética, por ejemplo.
Pero quizá lo más importante es que incluso una empresa de ciberseguridad de primer nivel fue víctima de un ataque. Ganan puntos por detectar la brecha cuando nadie más lo hizo, pero si no pudieron evitarlo, ¿qué posibilidades tienen los equipos medios?
En ese sentido, creo que es valioso repasar cómo sucedió.
Los actores crearon un archivo de parche de Windows Installer que incluía una versión falsificada de un archivo de actualización estándar de SolarWinds. Procedieron a publicar estas actualizaciones corruptas en el sitio de SolarWinds con una firma legítima. Una vez que SolarWinds descargaba la actualización en su software Orion, el archivo BusinessLayerHost.exe (normal) cargaba el archivo DLL troyanizado. Después de un par de semanas, el troyano intenta resolver un subdominio avsvmcloud[.]com. El DNS responde entonces con un registro CNAME dirigido a un servidor de Comando y Control. Esencialmente, utilizaron los nombres de host de servicios válidos. El tráfico a los dominios maliciosos se disfraza como datos de la API de SolarWinds.
A partir de ahí, tuvieron acceso a un software que les permite acceder de forma inherente a las comunicaciones de red de los clientes de SolarWinds.
¿Por qué no los detectaron?
Por algo se les clasificó como hackers altamente cualificados. Esperaron dos semanas antes de atacar. Utilizaban tareas rutinarias de mantenimiento para colarse. Tras penetrar más profundamente, insertaban código sólo en memoria en procesos normales para sustituir una parte del sistema, obtenían credenciales no comprometidas y luego sustituían su parte maliciosa por la parte normal.
Si había una técnica para cubrir sus huellas, la utilizaban. Evaluaban la seguridad de los sistemas de cada uno de los clientes de SW individualmente, de uno en uno, y luego adaptaban cada violación al cliente.
Cronología del atentado
2019: Preparación para el ataque
4 de septiembre
Ciberatacantes desconocidos y altamente cualificados acceden a SolarWinds.
12 de septiembre
Los actores maliciosos inyectan su código SUNBURST en el software de la plataforma Orion como prueba inicial. Utilizando servidores estadounidenses y un tráfico de red muy camuflado, evitaron ser detectados por todas las redes que utilizaban la plataforma Orion.
2020: Comienza el ataque
20 de febrero
Tras actualizar el código de SUNBURST, los actores maliciosos llevan a cabo su ataque. Durante los meses siguientes, consiguen penetrar en las redes individuales de muchos usuarios de Orion.
4 de junio
Los hackers extraen su código troyano de SolarWinds, cubriendo sus huellas.
8 de diciembre
Una empresa de ciberseguridad, FireEye, anuncia que piratas informáticos robaron sus herramientas de pruebas de penetración (herramientas de "equipo rojo" utilizadas para probar las defensas de ciberseguridad de sus clientes) y advierte a otras empresas del riesgo correspondiente si esas herramientas se volvieran en su contra.
11 de diciembre
FireEye investiga más a fondo y determina que SolarWinds fue la causa raíz de la brecha. Descubrieron que las actualizaciones de la plataforma Orion estaban troyanizadas, lo que les permitió infiltrarse en clientes de SolarWinds desde cualquiera de las versiones de software desde marzo de 2020 hasta junio.
12 de diciembre
FireEye revela a SolarWinds que su plataforma Orion ha sido vulnerada por piratas informáticos. La Casa Blanca y el NSC celebran una reunión para determinar el alcance del ataque a organizaciones gubernamentales.
13 de diciembre
Tras revisar la situación, la CISA (Agencia de Ciberseguridad y Seguridad de las Infraestructuras) declara un mandato de emergencia para que todas las instituciones gubernamentales eliminen toda actividad de SolarWinds Orion debido a los continuos peligros para la seguridad nacional.
FireEye informa de que un ciberatacante utilizó como arma la cadena de suministro de actualizaciones de SolarWinds y posteriormente vulneró a clientes de todo el mundo.
SolarWinds describe la violación de su plataforma Orion y proporciona métodos para que sus clientes defiendan sus redes. Microsoft también hace una declaración sobre las implicaciones del hackeo de SolarWinds para su base de clientes.
Reuters da a conocer al público la historia de SolarWinds, detallando a Rusia como principal sospechoso y el alcance indeterminado del ataque al gobierno federal estadounidense.
15 de diciembre
El Senado pide que el FBI y la CISA investiguen el asunto de SolarWinds y proporcionar más información sobre el ciberataque al Gobierno al Congreso.
SolarWinds proporciona un parche de software y transmite información adicional sobre el ataque.
Los periodistas publican información de que la seguridad nacional, los NIH, el DHS, entre otros, fueron víctimas.
16 de diciembre
La comunidad de ciberseguridad determina el dominio utilizado por los ciberatacantes junto con un kill switch para desactivar el código SUNBURST.
El FBI inicia su investigación sobre los orígenes del ataque para mitigar futuros riesgos de atentado.
El New York Times explica el riesgo para la seguridad de nuestra nación.
SolarWinds da más detalles sobre el ataque; explican que sus herramientas de proveedor de servicios gestionados no se vieron comprometidas, aunque se tomaron medidas para evitar nuevas infracciones, ya que se notificó a todos los socios que debían restablecer sus certificados firmados digitalmente a medida que SolarWinds revocaba las credenciales antiguas.
17 de diciembre
El equipo de infoseguridad de Microsoft anuncia que su software orion se vio comprometido, pero que se ha eliminado el riesgo. Informan de que su sistema no parecía estar en peligro.
19 de diciembre
Según han anunciado los medios de comunicación y los analistas de ciberseguridad, las defensas de unas 200 empresas e instituciones se vieron comprometidas.
22 de diciembre
Más actualizaciones de seguridad de SolarWinds disponibles.
Nochebuena
SolarWinds explica cómo sus últimos parches y correcciones de seguridad abordan el ataque Orion Supernova.
30 de diciembre
La Agencia de Ciberseguridad e Infraestructuras ordena a los demás departamentos del Gobierno que actualicen su software Orion a la versión de actualización 2020.2.1HF2.
2021: Secuelas de SolarWinds
5 de enero
5 de enero
La inteligencia estadounidense identifica a Rusia como presunto culpable de la brecha de SolarWinds.
6 de enero
Un periodista del NYT escribe que la plataforma JetBrians TeamCity CI/CD podría estar implicada en el ciberataque ruso. En concreto, el servidor TeamCity ayuda a los desarrolladores a crear software finalizado, uno de los cuales es el software de SolarWinds.
El consejero delegado de JetBrians niega que se haya abierto ninguna investigación y proclama que es muy posible que un error del usuario y una mala configuración hayan provocado una brecha.
SolarWinds contrata a su anterior CEO como asesor provisional para gestionar las consecuencias del ataque.
8 de enero
SolarWinds amplía sus esfuerzos de relaciones públicas para mitigar las reacciones negativas, afirma que profundizará en los recursos de ciberseguridad y ampliará sus esfuerzos. SolarWinds contrata a consultores de seguridad informática que trabajaron para Facebook y la CISA.
11 de enero
Kaspersky establece una comparación entre el ataque a SolarWinds y la actividad previa del servicio de seguridad ruso cómplice de guerra cibernética, el grupo Turla.
Crowdstrike detalla cómo los atacantes rusos utilizaron una herramienta llamada SUNSPOT para atacar los sistemas SolarWinds y crear su puerta trasera SUNBURST.
SolarWinds contrata a más miembros del equipo InfoSec y se publica más información sobre el ataque.
SolarWinds: Implicaciones futuras en la seguridad de los datos y el sector de la seguridad de la información.
No ha habido un ciberataque tan sonado como el de SolarWinds en muchos años (que sepamos).
Aunque puede que nunca conozcamos el alcance total de cómo se llevó a cabo el ataque, el consenso parece ser que se trató de un ataque multifacético a la cadena de suministro. Infiltración del servidor CI/CD en la compilación del software de solarwinds -> acceso a la actualización del software -> Acceso a la plataforma Orion de los clientes -> Infiltración manual en las redes de los clientes.
Los gobiernos federales se vieron comprometidos. Empresas de todo el mundo se vieron comprometidas. Para prevenir futuros ataques, necesitamos una mejor comunicación entre los equipos de ciberseguridad. Si compartimos la información sobre las amenazas en curso, podemos evitar que ataques como este vayan a más.
Los ataques a la cadena de suministro no van a desaparecer; el software de terceros se manipula fácilmente para infiltrarse en las aplicaciones con las que interactúa. También se investiga y se tiene menos en cuenta que el software interno. Como resultado, las empresas seguramente reforzarán sus defensas contra el acceso de proveedores externos. Queda por ver si esto será suficiente para evitar ataques similares.
Aunque JetBrains no ha sido designado formalmente como uno de los vectores de ataque, el hecho de que no pueda descartarse refuerza la importancia de proteger el entorno de desarrollo de software. Las herramientas SAST, DAST y SCA para las pruebas de seguridad se ampliarán y se harán más omnipresentes para cortar los riesgos de raíz antes de que puedan convertirse en un problema mayor.
En hipersegmentación y confianza cero los equipos tendrán que adaptarse a las nuevas restricciones y encontrar nuevas formas de mantener las operaciones y las comunicaciones dentro de la red.
Por último, es fundamental mantener la seguridad de las operaciones del ciclo de vida de TI para proteger los soportes físicos de los datos frente a las fugas de información. En el curso de la ayuda a nuestros clientes de ITAD, hemos encontrado y asegurado numerosos inicios de sesión y certificados digitales en soportes inocuos como memorias USB dejadas dentro de servidores por accidente. Solicite un presupuesto gratuito para proteger su marca y recuperar el capital de sus activos informáticos.