¿Qué es el ciberataque SolarWinds?

¿Qué es SolarWinds?

SolarWinds es un proveedor de soluciones de software de administración de infraestructura de tecnología de la información (TI) con sede en Texas que permite a las organizaciones supervisar y administrar el rendimiento de sus entornos de TI.

SolarWinds Orion, una plataforma de administración y supervisión de infraestructura de red ampliamente utilizada, está diseñada para brindar a los clientes visibilidad de las redes de varios proveedores para que puedan identificar y solucionar problemas. Orion tiene más de 33,000 clientes, incluidas muchas grandes empresas del sector privado y agencias gubernamentales. Se cree que el ataque en cuestión afectó a unos 18,000 de estos clientes, más de la mitad.

Al día siguiente de que se diera a conocer la violación de SolarWinds, Forbes informó que los ataques podrían llegar al corazón de la maquinaria de seguridad de los Estados Unidos: "Según una revisión de registros públicos, la variedad de clientes del gobierno de los Estados Unidos que previamente han comprado Orion de SolarWinds es enorme. El Pentágono es el mayor cliente, siendo el Ejército y la Marina usuarios importantes. El Departamento de Asuntos de Veteranos... los Institutos Nacionales de Salud, el Departamento de Energía, el DHS y el FBI también se encuentran entre los muchos clientes del gobierno de los Estados Unidos que previamente han comprado la herramienta."

¿Cómo funcionaban los ciberataques de SolarWinds?

El ataque, que llegó a conocerse como SUNBURST en las comunicaciones de SolarWinds, afectó a las versiones de Orion 2019.4 a 2020.2.1, lanzadas entre marzo y junio de 2020.

Para llevar a cabo el ataque, los hackers modificaron un complemento de la plataforma Orion distribuido como parte de las actualizaciones de la plataforma. El complemento estaba firmado digitalmente por SolarWinds e incluía una puerta trasera que se comunicaba con servidores externos controlados por los agresores. Una vez que los atacantes establecieron un punto de apoyo en las organizaciones impactadas, podrían robar datos, implementar código malicioso o interrumpir el negocio de alguna manera.

El ataque fue obra de un atacante sofisticado con un profundo conocimiento de la seguridad operativa. Según los datos disponibles públicamente, este atacante demostró un gran esfuerzo por evadir la detección, el cual incluyó técnicas de ofuscación y limpieza de código como la esteganografía, técnicas de individualización (fingerprinting) para identificar sistemas objetivo y sistemas de análisis, rotación de la infraestructura con enfoque en la proximidad de geolocalización y ejecución de código en la memoria tanto como sea posible.

Estas técnicas, junto con el uso de un componente firmado digitalmente de una plataforma de software confiable como vector de infección inicial, son indicación de que se trata de un atacante altamente calificado y encubierto, dispuesto a emplear recursos para asegurar el éxito de su operación.

Respuesta de los Estados Unidos y sanciones tras el ataque

El ataque afectó a múltiples organismos gubernamentales federales de alto perfil de los Estados Unidos, entre ellos el Departamento de Justicia (DOJ), el Departamento de Seguridad Nacional (DHS) y el Departamento del Tesoro, entre otros. Expuso los entornos de correo electrónico de Microsoft 365 de diversas agencias federales, constituyendo un "incidente mayor" que ameritaba una respuesta defensiva.

Una declaración de la Casa Blanca en abril de 2021 informó que la administración de Biden “impondría costos a Rusia por las acciones de su gobierno y los servicios de inteligencia contra la soberanía y los intereses de los Estados Unidos”. Estas acciones apuntaron al gobierno ruso, el comercio y los organismos de inteligencia, incluida la expulsión de los representantes diplomáticos de los servicios de inteligencia rusos de los Estados Unidos.

La misma declaración declaró formalmente autor del ataque al Servicio de Inteligencia Exterior de Rusia (SVR). El CISA, la Oficina Federal de Investigaciones (FBI) y la Agencia Nacional de Seguridad (NSA) dieron a conocer una advertencia de seguridad conjunta que contenía más detalles.

¿Cómo saber si ha sufrido un ataque?

Para permanecer sin ser detectado, el atacante parece haber utilizado solo la puerta trasera en Orion de SolarWinds cuando el entorno objetivo era de interés específico. Como tal, analizar la actividad de su red es la única manera de saber si un atacante buscó u obtuvo acceso.

Se sospecha que la campaña comenzó durante o antes de marzo de 2020 (con posibles pruebas a partir de octubre de 2019) y no involucró ningún indicador conocido de infección. Debido al volumen de datos involucrados, muchas organizaciones no mantienen los registros de acceso el tiempo suficiente para determinar si se produjo o no una infección.

Si un atacante implementa malware en su entorno a través de un sistema Orion infectado, probablemente utilizará privilegios escalados para comenzar a investigar qué acciones puede poner en práctica. Manténgase alerta al sistema Orion afectado, u otros sistemas que se hayan comunicado con él, para detectar comportamientos como por ejemplo:

• Modificación de tareas del sistema
• Borrar-crear-ejecutar-borrar-crear patrón de acción de directorio
• Cuentas de usuario locales creadas recientemente o desconocidas
• Existencia o evidencia de uso de Adfind.exe
• Signos de cmd.exe o rundll32.exe que hayan surgido de solarwinds.businesslayerhost.exe
• Existencia de reglas desconocidas y/o muy amplias de reenvío/eliminación de correo electrónico en la puerta de enlace de correo electrónico

Productos y versiones de Orion infectados

La manera más fácil de saber si puede haber sufrido un ataque es determinar si está utilizando un producto Orion infectado en su entorno. Las versiones de la Plataforma Orion afectadas incluyen:

• 2019.4 HF5, versión 2019.4.5200.9083
• 2020.2 RC1, versión 2020.2.100.12219
• 2020.2 RC2, versión 2020.2.5200.12394
• 2020.2, versión 2020.2.5300.12432
• 2020.2 HF1, versión 2020.2.5300.12432

Qué hacer si está en riesgo

Si está usando una versión infectada de la Plataforma Orion:

1. Aísle, desconecte o apague inmediatamente los sistemas infectados.
2. Revise los registros para identificar la actividad de comando y control o el movimiento lateral de los sistemas infectados.
3. Restablezca todas las credenciales que SolarWinds Orion y los servicios asociados utilizan
4. Actualice Orion a la última versión, según esta advertencia.
5. Determine si está ejecutando otros productos SolarWinds afectados enumerados en la advertencia.

Mejores prácticas para proteger su organización

Losataques a la cadena de suministro siguen evolucionando y no hay duda de que los atacantes encontrarán nuevas maneras de comprometer las operaciones y los datos confidenciales de organismos públicos y empresas privadas por igual. Para reducir al máximo su riesgo, Zscaler recomienda tomar los siguientes pasos:

• Elimine su superficie de ataque visible en Internet, detenga el posible movimiento lateral y bloquee la actividad C2 con una arquitectura zero trust.
• Habilite la inspección TLS/SSL completa y la prevención avanzada de amenazas en el tráfico de la carga de trabajo a Internet.
• Ejecute un sandbox en la nube en línea para identificar y detener amenazas avanzadas y desconocidas.
• Aplique protecciones para el tráfico C2 conocido con actualizaciones continuas a medida que surjan nuevos destinos.
• Limite el impacto del movimiento lateral con microsegmentación basada en identidad para cargas de trabajo en la nube.
• Elija proveedores que puedan asegurarle los niveles más altos de confidencialidad, integridad y disponibilidad.

Aunque no tome otras medidas, estas dos son las más importantes y hacen que sea mucho más difícil para un atacante infiltrarse en su entorno, y más fácil para usted detectar actividades inesperadas:

• Haga cumplir el acceso con privilegios mínimos para limitar la capacidad de los atacantes de aprovecharse de su posición.
• Requiera autenticación multifactor para todo acceso a objetivos de alto valor.

¿Cómo puede ayudar Zscaler?

Los ataques a la cadena de suministro se encuentran entre las ciberamenazas modernas más sofisticadas y difíciles de detectar. Para defenderse de ellos con confianza, necesita visibilidad completa de todo el tráfico en su entorno, múltiples capas de seguridad y una comprensión clara de la postura de seguridad de todas sus organizaciones asociadas.

Zscaler Zero Trust Exchange™ protege a su organización contra ataques avanzados a la cadena de suministro con servicios integrados de manera nativa y potentes capacidades líderes en el sector que le permiten:

• Identificar y detener la actividad maliciosa de servidores infectados mediante el enrutamiento de todo el tráfico de servidores a través de Zscaler Internet Access™.
• Restringir el tráfico de la infraestructura crítica a una lista de destinos permitidos y conocidos
• Inspeccionar todo el tráfico TLS/SSL a una escala ilimitada, aún si proviene de fuentes confiables.
• Bloquear todos los dominios conocidos de comando y control (C2) con Advanced Threat Protection.
• Extender la protección C2 a todos los puertos y protocolos con Advanced Cloud Firewall (móduloCloud IPS ), incluidos los destinos C2 emergentes
• Evitar la entrega de malware desconocido como parte de una carga útil de segunda etapa con Advanced Cloud Sandbox
• Limitar el impacto de una posible infección restringiendo el movimiento lateral con microsegmentación basada en identidad mediante una arquitectura de confianza cero y Zscaler Workload Segmentation
• Proteger las aplicaciones más importantes limitando el movimiento lateral con Zscaler Private Access