Solarwinds: ataque sin precedentes a las redes de todo el mundo

A mediados de diciembre de 2020, un informe de un ataque sin precedentes a miles de redes golpeó el mundo de las redes como una bomba. Las agencias gubernamentales y las empresas privadas encontraron que sus redes estaban comprometidas. Arrojamos luz sobre el fondo.

En diciembre, circularon informes de que muchas redes gubernamentales y de empresas privadas habían sido blanco de un ataque sin precedentes. Detrás de esta ola de ataques, sin embargo, no había una vulnerabilidad de seguridad de Windows particularmente crítica que permaneciera sin parchear y ningún malware que la explotara. Habiamos visto algo asi en el caso de Wannacr . Lo que todas las víctimas de ataques tenían en común era el software de gestión de red de Solarwinds. Resultó que esto estaba plagado de software espía, sin el conocimiento del fabricante. ¿Cómo fue eso posible? Al comprometer el entorno de desarrollo. El software espía con el nombre Sunburst no se incorporó al software de red en un proceso «hau-jerk». 

Según los hallazgos de Solarwinds, que se enumeran en una publicación de blog en el propio blog de la compañía , los delincuentes han estado agregando nuevos componentes individuales inadvertidos desde el exterior durante meses para no despertar sospechas y no hacer demasiado «ruido». Al final, hubo un software espía que se incorporó a la gestión de la red y que Solarwind entregó directamente de forma conveniente. Las actualizaciones de software infectadas nunca despertaron sospechas y se instalaron en numerosas empresas de todo el mundo. A mediados de diciembre de 2020, el problema se notó con los vientos solares. Las actualizaciones estuvieron disponibles en unos días que liberaron a las versiones afectadas de la administración de red de Orion de la carga dañina.  

De viento a tormenta

La autoría aún no se ha aclarado de manera inequívoca, pero hay algunos indicios sólidos que apuntan a Rusia. Esto está respaldado por el hecho de que el software espía tiene similitudes con el malware anterior, que con cierta certeza se originó en Rusia y que se dice que está cerca de los servicios secretos. Estos rastros llegan hasta un programa de espionaje anterior llamado Turla, también conocido con el nombre de  Uroburos, en cuyo análisis participaron en ese momento los expertos en seguridad de G DATA. Pero eso no significa necesariamente que un servicio secreto ruso sea el creador; también es posible que detrás de él haya un desarrollador que también ha trabajado en otros programas que tienen similitudes con el caso presente y que ahora ha cambiado de empleador. Tiene. Sin embargo, hasta ahora no hay indicios que apunten fuera de Rusia. La respuesta final tardará mucho en llegar y puede descubrir conexiones aún más inesperadas. Un ejemplo de lo que puede dar un caso así es Sandworm; este caso también se ha convertido en un libro muy legible del mismo nombre.

Motivos

Sunburst fue y está diseñado para recopilar y desviar información a largo plazo. Esto es cierto después de un análisis detallado por numerosos investigadores. Los intrusos tuvieron meses para navegar tranquilamente por las redes comprometidas. Para muchas de las autoridades interesadas, aún no está claro a qué tuvieron acceso los atacantes. Microsoft anunció, por ejemplo, que probablemente había acceso al código fuente. En el caso de FireEye, eran herramientas especiales. Sin embargo, aún no se sabe qué datos se extrajeron de las autoridades interesadas. El esfuerzo que se requirió para el desarrollo y colocación en los sistemas de vientos solares es también un indicador que apunta en la dirección del espionaje. A diferencia de los grupos de perpetradores motivados por motivos económicos o ideológicos, los espías no dependen de resultados rápidos y pueden llevar mucho más tiempo con sus ataques. Las primeras medidas que prepararon la implantación de Sunburst se implementaron con toda probabilidad en la primavera de 2019. Los clientes gubernamentales también suelen estar muy bien financiados, por lo que se puede hacer un esfuerzo correspondiente en el desarrollo. 
Una vez dentro de la red, los atacantes podían mirar a su alrededor sin ser molestados durante meses.

Ataques a proveedores y cadenas de suministro

Este tipo de ataque generalizado está dirigido explícitamente contra las cadenas de suministro. En lugar de infiltrar varios objetivos individualmente con un alto nivel de esfuerzo de personal, desde la perspectiva de un atacante es mucho más eficiente encontrar un denominador común que combine todos los objetivos potencialmente interesantes y luego dirigir el ataque contra este denominador común. Eso es exactamente lo que sucedió en el caso de Solarwinds. La táctica en sí se conoce desde la antigüedad y ha continuado en varias áreas de los tiempos modernos. Pero los ataques contra las cadenas de suministro no solo forman parte del repertorio de espionaje y guerra, también hay ataques por motivos económicos en las cadenas de suministro y suministro. Hace unos años, los analistas de G DATA descubrieron que los teléfonos inteligentes económicos de Asia se entregan en algunos casos con un firmware manipulado, que no solo recopila datos personales con el fin de venderlos, sino que también genera dinero con instalaciones automatizadas de aplicaciones. Sin embargo, con toda probabilidad, este software manipulado no fue instalado por el fabricante de hardware real, sino probablemente por un proveedor de servicios o un intermediario.

Modesta pero no desesperada

El caso «Sunburst» muestra una vez más dos cosas muy claramente: primero, que las empresas y las autoridades no tienen más remedio que confiar en sus proveedores, y segundo, que incluso los profesionales absolutos en el campo de la seguridad de TI tienen pocas posibilidades si los atacantes – independientemente de su origen – traiga suficientes recursos y motivación para pasar desapercibido. Sin embargo, lo único positivo es que al menos Solarwinds reaccionó muy rápido y se comunicó de manera muy abierta. La cooperación con otros fabricantes y organizaciones afectadas también ha sido ejemplar hasta ahora. En este contexto, también está claro que la comunidad de seguridad en su conjunto, a pesar de toda la competencia empresarial, está excelentemente interconectada y coopera entre sí. Porque al final todos tenemos el mismo objetivo. 

Enlace: https://www.gdata.de/blog/sunburst Autor:  Blog G DATA