Tras el ciberataque a Solarwinds, sin duda, se han publicado cientos de noticias, documentos técnicos y esquemas pero vamos a ver qué sabemos hoy, del impacto que ha tenido y cuál ha sido el origen.

 

Aunque el ataque a Solarwinds se detecta la semana del 12 de diciembre, debemos retroceder unos días más para ampliar detalles.

El 8 de diciembre FireEye, empresa de ciberseguridad informo que había sido pirateada por un grupo APT estado/ nación.

Como parte de este ataque, los actores de amenazas robaron las herramientas de evaluación de Red Team que FireEye usa para probar la seguridad de sus clientes.

Se desconocía si los atacantes habían accedido a la red interna de FireEye.

El domingo 13 de diciembre de 2020, Microsoft, FireEye, SolarWinds y el gobierno de los EE. UU emitieron un informe coordinado informando que SolarWinds había sido pirateado por actores de amenazas patrocinados por el estado que se cree que son parte del SVR ruso.

FireEye es uno de los clientes afectados por el ataque de Solarwinds.

Como parte del ataque, los actores de la amenaza obtuvieron acceso al sistema de compilación SolarWinds Orion y agregaron una puerta trasera al archivo DLL legítimo de SolarWinds.Orion.Core.BusinessLayer.dll.

Esta DLL posteriormente fue distribuida a los clientes de SolarWinds en un ataque a la cadena de suministro a través de una plataforma de actualización automática que se utiliza para lanzar nuevas actualizaciones de software.

 

Esquema ataque Solarwinds

 

Esta puerta trasera DLL se conoce como SunBurst (FireEye) o Solarigate (Microsoft), y se carga mediante el programa SolarWinds.BusinessLayerHost. Exe.

Una vez cargado, se conectará de nuevo al servidor de comando y control remoto en un subdominio de avsvmcloud [.] COM, para recibir «trabajos» o tareas para ejecutar en el equipo infectado.

Se desconoce cuáles fueron las tareas ejecutadas, pero podría ser desde dar acceso remoto a los actores de la amenaza, descargar e instalar malware o robar datos.

Microsoft publicó un artículo técnico el mismo viernes para aquellos interesados ​​en los aspectos técnicos de la puerta trasera SunBurst y aviso de la alerta, a todos sus clientes de Office 365.

FireEye detectó el pirateo después de que los actores de la amenaza registraron un dispositivo en el sistema de autenticación multifactorial (MFA) de la compañía utilizando credenciales robadas.

El sistema alertó al empleado y al equipo de seguridad de este dispositivo desconocido, fue entonces cuando FireEye se dio cuenta de que habían sido comprometidos.