Tercera cepa de malware descubierta en el ataque a la cadena de suministro de SolarWinds

CrowdStrike, una de las dos empresas de seguridad que investiga formalmente el ataque, arroja algo de luz sobre cómo los piratas informáticos comprometieron el proceso de creación de la aplicación SolarWinds Orion.

La firma de ciberseguridad CrowdStrike, una de las empresas directamente involucradas en la investigación del ataque a la cadena de suministro de SolarWinds, dijo hoy que identificó una tercera cepa de malware directamente involucrada en el reciente ataque.

Llamado  Sunspot , este hallazgo se suma a las cepas de malware Sunburst (Solorigate) y Teardrop descubiertas anteriormente.

Pero mientras Sunspot es el último descubrimiento en el hack de SolarWinds, Crowdstrike dijo que el malware fue en realidad el primero que se utilizó.

EL MALWARE SUNSPOT SE EJECUTÓ EN EL SERVIDOR DE COMPILACIÓN DE SOLARWINDS

En un  informe publicado hoy , Crowdstrike dijo que Sunspot se implementó en septiembre de 2019, cuando los piratas informáticos violaron por primera vez la red interna de SolarWinds.

El malware Sunspot se instaló en el servidor de compilación SolarWinds, un tipo de software utilizado por los desarrolladores para ensamblar componentes más pequeños en aplicaciones de software más grandes.

CrowdStrike dijo que Sunspot tenía un propósito singular: vigilar el servidor de compilación en busca de comandos de compilación que ensamblaran Orion, uno de los principales productos de SolarWinds, una plataforma de monitoreo de recursos de TI utilizada por más de 33,000 clientes en todo el mundo.

Una vez que se detectaba un comando de compilación, el malware reemplazaba silenciosamente los archivos de código fuente dentro de la aplicación Orion con archivos que cargaban el malware Sunburst, lo que resultaba en versiones de la aplicación Orion que también instalaban el malware Sunburst.

Estos clientes de Orion troyanizados finalmente se abrieron camino en los servidores de actualización oficiales de SolarWinds y se instalaron en las redes de muchos clientes de la compañía.

Una vez que esto sucediera, el malware Sunburst se activaría dentro de las redes internas de empresas y agencias gubernamentales, donde recopilaría datos sobre sus víctimas y luego enviaría la información a los piratas informáticos de SolarWinds (consulte este  informe de Symantec  sobre cómo se enviaron los datos a través de una solicitud de DNS). ).

Los actores de la amenaza entonces decidirían si una víctima era lo suficientemente importante como para comprometerse y desplegarían el troyano de puerta trasera Teardrop más poderoso en estos sistemas mientras, al mismo tiempo, instruirían a Sunburst para que se borrara de las redes que consideraba insignificantes o de alto riesgo.

Sin embargo, la revelación de que se descubrió una tercera cepa de malware en el ataque SolarWinds es una de las tres actualizaciones principales que salieron a la luz hoy sobre este incidente.

En un  anuncio separado  publicado en su blog, SolarWinds también publicó una línea de tiempo del hack. El proveedor de software con sede en Texas dijo que antes de que el malware Sunburst se implementara en los clientes entre marzo y junio de 2020, los piratas informáticos también ejecutaron una prueba entre septiembre y noviembre de 2019.

“La versión posterior de octubre de 2019 del lanzamiento de la plataforma Orion parece haber contenido modificaciones diseñadas para probar la capacidad de los perpetradores para insertar código en nuestras compilaciones”, dijo hoy el director ejecutivo de SolarWinds, Sudhakar Ramakrishna, en una evaluación que también se hizo eco del informe CrowdStrike.

solarwinds-hack-timeline.jpg
 

Imagen: SolarWinds

SUPERPOSICIÓN DE CÓDIGO CON EL MALWARE TURLA

Además de esto, la empresa de seguridad Kaspersky también publicó sus propios hallazgos más temprano en el día en un  informe separado .

Kaspersky, que no formó parte de la investigación formal del ataque SolarWinds pero analizó el malware, dijo que investigó el código fuente del malware Sunburst y encontró superposiciones de código entre Sunburst y Kazuar, una cepa de malware vinculada al  grupo Turla , de Rusia. equipo de ciberespionaje patrocinado por el estado más sofisticado.

Kaspersky fue muy cuidadoso en su lenguaje actual para señalar que solo encontró “superposiciones de código”, pero no necesariamente que crea que el grupo Turla orquestó el ataque SolarWinds.

La empresa de seguridad afirmó que esta superposición de código podría ser el resultado de que los piratas informáticos de SolarWinds usaran las mismas ideas de codificación, compraran malware del mismo codificador, codificadores moviéndose a través de diferentes actores de amenazas, o podría ser simplemente una operación de bandera falsa destinada a liderar a las empresas de seguridad en el camino equivocado.

Pero aunque las firmas de seguridad se han mantenido alejadas de la attirbut, la semana pasada, los funcionarios del gobierno de Estados Unidos culparon formalmente a Rusia del ataque a SolarWinds, y describieron a los piratas informáticos como ” probablemente de origen ruso “.

La declaración del gobierno de EE. UU. No atribuyó el ataque a un grupo específico. Algunos medios de comunicación atribuyeron el ataque a un grupo conocido como APT29  (o Cozy Bear), pero todas las empresas de seguridad e investigadores de seguridad involucrados en el ataque han  pedido precaución y han sido muy tímidos a la hora de atribuir formalmente el ataque a un grupo específico tan pronto. en la investigación.

En este momento, los piratas informáticos de SolarWinds se rastrean con diferentes nombres, como UNC2452 (FireEye, Microsoft), DarkHalo (Volexity) y StellarParticle (CrowdStrike), pero se espera que esta designación cambie una vez que las empresas aprendan más.

En este momento, queda un último misterio, y así es cómo los piratas informáticos de SolarWinds lograron violar la red de la empresa en primer lugar e instalaron el malware Sunspot. ¿Fue una VPN sin parches, un ataque de phishing por correo electrónico, un servidor que quedó expuesto en línea con una contraseña que se podía adivinar?

Fuente: zdnet

 

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.