Visite nuestro Centro de respuesta de SolarWinds para obtener más información.
También puede explorar las características de la completa plataforma Zero Trust Exchange.
El ciberataque a SolarWinds fue un ataque a la cadena de suministro de software que involucró a la plataforma SolarWinds Orion, en el que un adversario del estado nación ruso obtuvo acceso a los sistemas de SolarWinds e implementó actualizaciones con troyanos para el software Orion. Esto, a su vez, permitió a los ciberdelincuentes instalar malware sigiloso en las redes de los clientes de SolarWinds. El ataque a SolarWinds fue revelado por varias empresas de ciberseguridad junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en diciembre de 2020.
SolarWinds es un proveedor de soluciones de software de administración de infraestructura de tecnología de la información (TI) con sede en Texas que permite a las organizaciones supervisar y administrar el rendimiento de sus entornos de TI.
SolarWinds Orion, una plataforma de administración y supervisión de infraestructura de red ampliamente utilizada, está diseñada para brindar a los clientes visibilidad de las redes de varios proveedores para que puedan identificar y solucionar problemas. Orion tiene más de 33 000 clientes, incluidas muchas grandes empresas del sector privado y agencias gubernamentales. Se cree que el ataque en cuestión afectó a aproximadamente 18 000 de estos clientes, más de la mitad.
El día después de que se revelara el ataque de SolarWinds, Forbes informó que los ataques podrían llegar al mismo corazón del sistema de seguridad de los Estados Unidos: “Según una revisión de los registros públicos, la gama de clientes del gobierno de los EE. UU. que compraron previamente SolarWinds Orion es enorme. El Pentágono es el mayor cliente, siendo el Ejército y la Marina importantes usuarios. El Departamento de Asuntos de Veteranos, los Institutos Nacionales de Salud, el Departamento de Energía, el DHS y el FBI también se encuentran entre las muchas ramas del gobierno de los EE. UU. que habían comprado la herramienta anteriormente”.
Steven J. Vaughan-Nichols, ZD-Net, 4 de enero de 2021
El ataque, que llegó a conocerse como SUNBURST en las comunicaciones de SolarWinds, afectó a las versiones de Orion 2019.4 a 2020.2.1, lanzadas entre marzo y junio de 2020.
Para llevar a cabo el ataque, los piratas informáticos modificaron un complemento de la plataforma Orion distribuido como parte de las actualizaciones de la plataforma Orion. Firmado digitalmente por SolarWinds, contiene una puerta trasera que se comunica con servidores de terceros bajo el control de los atacantes. Una vez que los atacantes establecieron un punto de apoyo en las organizaciones afectadas, pudieron robar datos, implementar códigos maliciosos o interrumpir la actividad empresarial.
El ataque fue obra de un adversario sofisticado con un profundo conocimiento de la seguridad operativa. Según los datos disponibles públicamente, este adversario demostró esfuerzos significativos para evadir la detección, incluidas técnicas de limpieza y ofuscación de código como esteganografía, técnicas de huellas dactilares para identificar sistemas de destino y sistemas de análisis, infraestructura rotativa con un enfoque en la proximidad de geolocalización y ejecución de código en memoria en la medida de lo posible.
Estas técnicas, en combinación con el uso de un componente firmado digitalmente de una plataforma de software confiable como vector de infección inicial, indican un adversario encubierto y altamente cualificado dispuesto a gastar recursos para asegurar el éxito de su operación.
El ataque afectó a varias agencias gubernamentales federales estadounidenses de alto perfil, incluido el Departamento de Justicia (DOJ), el Departamento de Seguridad Nacional (DHS) y el Departamento del Tesoro, entre otros. Expuso los entornos de correo electrónico de Microsoft 365 de varias agencias federales, lo que constituye un "incidente importante" que justificó una respuesta defensiva.
Una declaración de la Casa Blanca en abril de 2021 informó que la Administración de Biden “impondría costes a Rusia por las acciones de su gobierno y los servicios de inteligencia contra la soberanía y los intereses de los Estados Unidos”. Estas acciones se dirigieron a organismos gubernamentales, comerciales y de inteligencia rusos, incluida la expulsión de representantes diplomáticos de los servicios de inteligencia rusos de los EE. UU.
La misma declaración declaró formalmente autor del ataque al Servicio de Inteligencia Exterior de Rusia (SVR). La CISA, la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) publicaron un informe de seguridad conjunto que contenía más detalles.
Lucian Constantin, CSO Online, 15 de diciembre de 2020
Para no ser detectado, el adversario parece haber usado la puerta trasera en SolarWinds Orion solo cuando el entorno de destino era de interés específico. Por tanto, analizar la actividad de su red es la única forma de saber si un atacante ha buscado o ha obtenido acceso.
Se sospecha que la campaña comenzó durante o antes de marzo de 2020 (con posibles pruebas ya en octubre de 2019) y no involucró a ningún indicador conocido de compromiso. Debido al volumen de datos involucrados, muchas organizaciones no mantienen registros de acceso durante el tiempo suficiente para determinar si se produjo o no un compromiso.
Si un adversario implementa malware en su entorno a través de un sistema Orion comprometido, es probable que use privilegios escalados para comenzar a explorar qué acciones puede tomar. Esté atento al sistema Orion afectado u otros sistemas que se hayan comunicado con él, para detectar comportamientos como:
La forma más fácil de saber si puede haber sido atacado es determinar si está utilizando un producto Orion comprometido en su entorno. Las versiones de la plataforma Orion afectadas incluyen:
Si está utilizando una versión comprometida de la plataforma Orion:
Lucian Constantin, CSO Online, 15 de diciembre de 2020
Los ataques a la cadena de suministro aún están evolucionando, y no hay duda de que los adversarios encontrarán nuevas formas de comprometer las operaciones y los datos confidenciales de las agencias públicas y las empresas privadas por igual. Para reducir su riesgo en la medida de lo posible, Zscaler recomienda seguir estos pasos:
Incluso si no toma otras medidas, estas dos son las más críticas, lo que hace que sea mucho más difícil para un adversario infringir su entorno, pero más fácil para usted detectar actividad inesperada:
Los ataques a la cadena de suministro se encuentran entre las ciberamenazas modernas más sofisticadas y difíciles de detectar. Para defenderse de ellos con confianza, necesita una visibilidad completa de todo el tráfico en su entorno, múltiples capas de seguridad y una comprensión clara de la postura de seguridad de todas sus organizaciones asociadas.
Zscaler Zero Trust Exchange™ protege a su organización frente a ataques avanzados a la cadena de suministro con servicios integrados de forma nativa y potentes capacidades líderes en el sector que le permiten:
Visite nuestro Centro de respuesta de SolarWinds para obtener más información.
También puede explorar las características de la completa plataforma Zero Trust Exchange.
Zscaler ThreatLabz: Centro de respuesta de SolarWinds
Encuentre recursosAtaques a la cadena de suministro: qué son, cómo funcionan y cómo proteger a su organización
Leer el blogLa guía del autoestopista para responder al incidente de SolarWinds
Leer el blogCobertura de Zscaler para ataques cibernéticos a SolarWinds y robo de herramientas de Red Team de FireEye
Leer el blog¿Está preparado para los ataques de la guerra cibernética rusa?
Leer el blog