¿Qué es el ciberataque a Solarwinds?

¿Qué es SolarWinds?

SolarWinds es un proveedor de soluciones de software de administración de infraestructura de tecnología de la información (TI) con sede en Texas que permite a las organizaciones supervisar y administrar el rendimiento de sus entornos de TI.

SolarWinds Orion, una plataforma de administración y supervisión de infraestructura de red ampliamente utilizada, está diseñada para brindar a los clientes visibilidad de las redes de varios proveedores para que puedan identificar y solucionar problemas. Orion tiene más de 33 000 clientes, incluidas muchas grandes empresas del sector privado y agencias gubernamentales. Se cree que el ataque en cuestión afectó a aproximadamente 18 000 de estos clientes, más de la mitad.

El día después de que se revelara el ataque de SolarWinds, Forbes informó que los ataques podrían llegar al mismo corazón del sistema de seguridad de los Estados Unidos: “Según una revisión de los registros públicos, la gama de clientes del gobierno de los EE. UU. que compraron previamente SolarWinds Orion es enorme. El Pentágono es el mayor cliente, siendo el Ejército y la Marina importantes usuarios. El Departamento de Asuntos de Veteranos, los Institutos Nacionales de Salud, el Departamento de Energía, el DHS y el FBI también se encuentran entre las muchas ramas del gobierno de los EE. UU. que habían comprado la herramienta anteriormente”.

¿Cómo funcionó el ciberataque a SolarWinds?

El ataque, que llegó a conocerse como SUNBURST en las comunicaciones de SolarWinds, afectó a las versiones de Orion 2019.4 a 2020.2.1, lanzadas entre marzo y junio de 2020.

Para llevar a cabo el ataque, los piratas informáticos modificaron un complemento de la plataforma Orion distribuido como parte de las actualizaciones de la plataforma Orion. Firmado digitalmente por SolarWinds, contiene una puerta trasera que se comunica con servidores de terceros bajo el control de los atacantes. Una vez que los atacantes establecieron un punto de apoyo en las organizaciones afectadas, pudieron robar datos, implementar códigos maliciosos o interrumpir la actividad empresarial.

El ataque fue obra de un adversario sofisticado con un profundo conocimiento de la seguridad operativa. Según los datos disponibles públicamente, este adversario demostró esfuerzos significativos para evadir la detección, incluidas técnicas de limpieza y ofuscación de código como esteganografía, técnicas de huellas dactilares para identificar sistemas de destino y sistemas de análisis, infraestructura rotativa con un enfoque en la proximidad de geolocalización y ejecución de código en memoria en la medida de lo posible.

Estas técnicas, en combinación con el uso de un componente firmado digitalmente de una plataforma de software confiable como vector de infección inicial, indican un adversario encubierto y altamente cualificado dispuesto a gastar recursos para asegurar el éxito de su operación.

Respuesta y sanciones de EE. UU. tras el ataque

El ataque afectó a varias agencias gubernamentales federales estadounidenses de alto perfil, incluido el Departamento de Justicia (DOJ), el Departamento de Seguridad Nacional (DHS) y el Departamento del Tesoro, entre otros. Expuso los entornos de correo electrónico de Microsoft 365 de varias agencias federales, lo que constituye un "incidente importante" que justificó una respuesta defensiva.

Una declaración de la Casa Blanca en abril de 2021 informó que la Administración de Biden “impondría costes a Rusia por las acciones de su gobierno y los servicios de inteligencia contra la soberanía y los intereses de los Estados Unidos”. Estas acciones se dirigieron a organismos gubernamentales, comerciales y de inteligencia rusos, incluida la expulsión de representantes diplomáticos de los servicios de inteligencia rusos de los EE. UU.

La misma declaración declaró formalmente autor del ataque al Servicio de Inteligencia Exterior de Rusia (SVR). La CISA, la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) publicaron un informe de seguridad conjunto que contenía más detalles.

¿Cómo saber si ha sido atacado?

Para no ser detectado, el adversario parece haber usado la puerta trasera en SolarWinds Orion solo cuando el entorno de destino era de interés específico. Por tanto, analizar la actividad de su red es la única forma de saber si un atacante ha buscado o ha obtenido acceso.

Se sospecha que la campaña comenzó durante o antes de marzo de 2020 (con posibles pruebas ya en octubre de 2019) y no involucró a ningún indicador conocido de compromiso. Debido al volumen de datos involucrados, muchas organizaciones no mantienen registros de acceso durante el tiempo suficiente para determinar si se produjo o no un compromiso.

Si un adversario implementa malware en su entorno a través de un sistema Orion comprometido, es probable que use privilegios escalados para comenzar a explorar qué acciones puede tomar. Esté atento al sistema Orion afectado u otros sistemas que se hayan comunicado con él, para detectar comportamientos como:

• Modificación de tareas del sistema
• Patrón de acción de eliminar-crear-ejecutar-eliminar-crear directorio
• Cuentas de usuario locales recién creadas o desconocidas
• Existencia o evidencia de uso de Adfind.exe
• Signos de cmd.exe o rundll32.exe generados desde solarwinds.businesslayerhost.exe
• Existencia de reglas de reenvío/eliminación de correo electrónico desconocidas y/o muy amplias en la puerta de enlace de correo electrónico

Versiones y productos de Orion comprometidos

La forma más fácil de saber si puede haber sido atacado es determinar si está utilizando un producto Orion comprometido en su entorno. Las versiones de la plataforma Orion afectadas incluyen:

• 2019.4 HF5, versión 2019.4.5200.9083
• 2020.2 RC1, versión 2020.2.100.12219
• 2020.2 RC2, versión 2020.2.5200.12394
• 2020.2, versión 2020.2.5300.12432
• 2020.2 HF1, versión 2020.2.5300.12432

Qué hacer si está en peligro

Si está utilizando una versión comprometida de la plataforma Orion:

1. Aísle, desconecte o apague inmediatamente los sistemas infectados
2. Revise los registros para identificar la actividad de comando y control, o el movimiento lateral de los sistemas infectados
3. Restablezca todas las credenciales que SolarWinds Orion y los servicios asociados utilizan
4. Actualice Orion a la última versión, de acuerdo con este aviso
5. Determine si está ejecutando otros productos SolarWinds afectados que se enumeran en el aviso

Mejores prácticas para proteger su organización

Los ataques a la cadena de suministro aún están evolucionando, y no hay duda de que los adversarios encontrarán nuevas formas de comprometer las operaciones y los datos confidenciales de las agencias públicas y las empresas privadas por igual. Para reducir su riesgo en la medida de lo posible, Zscaler recomienda seguir estos pasos:

• Elimine su superficie de ataque orientada a Internet, detenga el movimiento lateral y bloquee C2 con una arquitectura de confianza cero.
• Habilite la inspección TLS/SSL completa y la prevención de amenazas avanzadas en el tráfico de cargas de trabajo a Internet.
• Ejecute un sandbox en la nube en línea para identificar y detener amenazas desconocidas.
• Aplique protecciones para el tráfico C2 conocido con actualizaciones continuas a medida que surgen nuevos destinos.
• Limite el impacto del movimiento lateral con microsegmentación basada en identidad para cargas de trabajo en la nube.
• Elija proveedores que puedan dar fe de los más altos niveles de confidencialidad, integridad y disponibilidad.

Incluso si no toma otras medidas, estas dos son las más críticas, lo que hace que sea mucho más difícil para un adversario infringir su entorno, pero más fácil para usted detectar actividad inesperada:

• Refuerce el acceso con privilegios mínimos para limitar las capacidades de los adversarios para explotar su posición.
• Exija autenticación multifactor para cualquier acceso a objetivos de alto valor.

¿Cómo puede ayudar Zscaler?

Los ataques a la cadena de suministro se encuentran entre las ciberamenazas modernas más sofisticadas y difíciles de detectar. Para defenderse de ellos con confianza, necesita una visibilidad completa de todo el tráfico en su entorno, múltiples capas de seguridad y una comprensión clara de la postura de seguridad de todas sus organizaciones asociadas.

Zscaler Zero Trust Exchange™ protege a su organización frente a ataques avanzados a la cadena de suministro con servicios integrados de forma nativa y potentes capacidades líderes en el sector que le permiten:

• Identificar y detener la actividad maliciosa de los servidores comprometidos enrutando todo el tráfico del servidor a través de Zscaler Internet Access™
• Restringir el tráfico de la infraestructura crítica a una lista de destinos permitidos de buenos conocidos
• Inspeccionar todo el tráfico TLS/SSL con escala ilimitada, incluso si proviene de fuentes confiables
• Bloquear todos los dominios conocidos de comando y control (C2) con Advanced Threat Protection
• Extender la protección C2 a todos los puertos y protocolos con Advanced Cloud Firewall (móduloCloud IPS ), incluidos los destinos C2 emergentes
• Evitar la entrega de malware desconocido como parte de una carga útil de segunda etapa con Advanced Cloud Sandbox
• Limitar el impacto de un posible compromiso restringiendo el movimiento lateral con microsegmentación basada en identidad a través de una arquitectura de confianza cero y Zscaler Workload Segmentation
• Proteger las aplicaciones más importantes limitando el movimiento lateral con Zscaler Private Access