¿Qué es el ataque SolarWinds? ¿Me he visto afectado?

Hacia fines de 2020, había un nombre que dominaba el panorama de la seguridad: SolarWinds.

Los atacantes utilizaron el software SolarWinds como un punto de salto hacia otros objetivos en un proceso conocido como ataque a la cadena de suministro.

El resultado fue decenas de miles de víctimas, violaciones de datos en múltiples agencias gubernamentales y una audiencia en el Congreso con algunos de los principales nombres en tecnología y seguridad, incluidos Microsoft, FireEye y CrowdStrike.

Entonces, ¿qué es SolarWinds? ¿Qué sucedió durante uno de los mayores ciberataques de los últimos tiempos?

¿Qué es SolarWinds?

SolarWinds es una empresa conocida que desarrolla y ofrece herramientas de gestión de sistemas. Entre su clientela se encuentran cientos de compañías Fortune 500, así como numerosas agencias gubernamentales estadounidenses y extranjeras.

SolarWinds desarrolla y distribuye un sistema de gestión llamado Orion. Las empresas pueden usar Orion para administrar recursos de TI, realizar tareas administrativas, monitoreo dentro y fuera del sitio, y más.

El software SolarWinds Orion está en el centro del ataque SolarWinds.

¿Qué pasó con el software SolarWinds Orion?

SolarWinds Orion tiene más de 33.000 clientes. Cada uno de estos clientes recibe actualizaciones de software directamente de SolarWinds, quien envía actualizaciones en vivo a los clientes. El cliente de Orion instala la actualización cuando llega y todo sigue funcionando con normalidad.

A principios de 2020, un grupo de piratas informáticos violaron silenciosamente la infraestructura de SolarWinds y agregaron código malicioso a un paquete de actualización de SolarWinds Orion. Cuando la actualización se envió a los miles de clientes de SolarWinds Orion, los archivos maliciosos se fueron con ella.

Una vez que la actualización llegó a las redes de los clientes, solo fue cuestión de esperar a que el cliente instalara los archivos maliciosos, creando una puerta trasera en su red en el proceso.

La versión troyana del software Orion se instaló en miles de computadoras en múltiples redes de alto perfil. Esta es una parte fundamental del ataque a la cadena de suministro. Un proveedor con acceso a otras redes es identificado y atacado, pero no es el único objetivo. Los atacantes están utilizando al proveedor como plataforma de lanzamiento hacia las redes de otros objetivos.

Los productos de Microsoft también se ven afectados por los ataques a la cadena de suministro

SolarWinds no fue la única empresa de tecnología cuyos productos aparecieron en un ataque a la cadena de suministro. Microsoft fue víctima del ataque general, pero los revendedores y distribuidores de productos de Microsoft también fueron el objetivo de comprometer otras redes vinculadas.

Los atacantes primero intentaron obtener acceso a la infraestructura de Office 365 de Microsoft directamente. Pero cuando fallaron, la atención se centró en los revendedores de Microsoft. Se apuntó al menos a un proveedor de servicios en la nube de Microsoft y se utilizó como trampolín hacia otras redes.

Otra vulnerabilidad del producto de Microsoft, esta vez en la aplicación web Outlook, permitió a los atacantes eludir las comprobaciones de autenticación de dos factores y acceder a cuentas de correo electrónico privadas que luego se utilizaron para recopilar datos.

Además, Microsoft confirmó que el atacante accedió al código fuente de Windows 10 y otros productos, aunque el código no era lo suficientemente importante como para considerarlo un riesgo.

¿Quiénes fueron afectados por el ataque SolarWinds?

Los atacantes no atacaron de inmediato. Habiendo obtenido acceso a una serie de redes de alto perfil, el grupo de piratería esperó durante meses para comenzar la segunda fase del ataque.

El grupo de piratas informáticos violó SolarWinds en marzo de 2020, pero el primer indicio de la escala de la infracción no llegó hasta diciembre de 2020, unos nueve meses después.

La firma líder de seguridad FireEye anunció que eran víctimas del hack y que los atacantes habían robado algunas de sus herramientas de hackeo ofensivas en el proceso. En este momento, la violación de FireEye no estaba vinculada a SolarWinds.

Alrededor de una semana después, surgió un flujo constante de informes de varias agencias gubernamentales de EE. UU. Sobre un ataque por la puerta trasera. El Tesoro de los Estados Unidos y la Administración Nacional de Seguridad Nuclear fueron violados, junto con los Departamentos de Seguridad Nacional, Estado, Defensa, Comercio y Energía, y partes del Pentágono.

En ese momento, hablando con la BBC , el investigador de ciberseguridad, el profesor Alan Woodward, dijo:

Después de la Guerra Fría, esta es una de las penetraciones potencialmente más grandes de los gobiernos occidentales que yo conozca.

La lista de víctimas es extensa y abarca varios países, numerosas empresas de tecnología y miles de redes. Nombres como Cisco, Intel, Nvidia, Microsoft, MediaTek, Malwarebytes y Mimecast sufrieron violaciones.

Relacionado: Microsoft bloquea el malware Sunburst en la raíz del hack de SolarWinds

¿Cómo terminó el ataque de SolarWinds?

Como era de esperar de un ataque de este tamaño, no fue tan simple presionar un interruptor y cerrar la brecha de SolarWinds.

En primer lugar, SolarWinds no fue un ataque único para todos. Aunque SolarWinds Orion fue la plataforma de lanzamiento principal en las redes objetivo, los atacantes usaron su tiempo para crear una serie de tipos de malware únicos, combinados con otros exploits nunca antes vistos después de obtener acceso.

El Blog de seguridad de Microsoft proporciona una explicación detallada de cómo funcionan algunos de estos tipos de malware, pero puede leer una breve descripción a continuación:

• GoldMax: GoldMax está escrito en Go y actúa como una puerta trasera de comando y control que oculta actividades maliciosas en la computadora de destino. Como se encontró con el ataque SolarWinds, GoldMax puede generar tráfico de red señuelo para disfrazar su tráfico de red malicioso, dándole la apariencia de tráfico regular.
• Sibot: Sibot es un malware de doble propósito basado en VBScript que mantiene una presencia persistente en la red de destino y para descargar y ejecutar una carga útil maliciosa. Microsoft señala que hay tres variantes del malware Sibot, todas las cuales tienen una funcionalidad ligeramente diferente.
• GoldFinder: este malware también está escrito en Go. Microsoft cree que se "utilizó como una herramienta de rastreo HTTP personalizada" para registrar direcciones de servidor y otra infraestructura involucrada en el ciberataque.

Una vez que Microsoft y otras empresas de seguridad aprendan lo suficiente sobre los tipos de malware en juego, pueden intentar bloquear su uso. Solo entonces puede comenzar la limpieza completa.

El Blog de seguridad de Microsoft también proporciona otro fragmento importante sobre el "fin" del ataque SolarWinds:

Con el patrón establecido de este actor de usar infraestructura y herramientas únicas para cada objetivo, y el valor operativo de mantener su persistencia en redes comprometidas, es probable que se descubran componentes adicionales a medida que continúe nuestra investigación sobre las acciones de este actor de amenazas.

¿Quién estuvo detrás del ataque SolarWinds?

La gran pregunta: ¿quién era? ¿Qué grupo de piratería tiene las habilidades para perpetrar uno de los ataques más grandes y avanzados de la historia?

Las empresas de tecnología y el gobierno de los EE. UU. Están apuntando directamente a un grupo de piratas informáticos respaldado por el gobierno ruso, aunque todavía es difícil encontrar un grupo con un nombre específico.

Esto podría significar el infame grupo de piratería Cozy Bear (APT29). La firma de seguridad Kaspersky dijo que algunas muestras de malware se parecen al malware utilizado por un pirata informático conocido como Turla, que tiene vínculos con el servicio de seguridad federal ruso, el FSB. Varios funcionarios estadounidenses han acusado oficialmente a Rusia o también a un grupo de piratería con influencia rusa.

Hablando en una audiencia en el Senado de los Estados Unidos sobre el ciberataque , el presidente de Microsoft, Brad Smith, también afirmó que Rusia estaba detrás del ataque. También reiteró que Microsoft "continúa investigando, ya que no creemos que todos los vectores de la cadena de suministro se hayan descubierto o hecho públicos".

Los líderes de las otras empresas de tecnología que hablaron en la audiencia, CrowdStrike, FireEye y SolarWinds, emitieron declaraciones similares.

Sin embargo, sin una confirmación o una prueba contundente que el gobierno de EE. UU. Pueda revelar, sigue siendo una acusación sólida. Como indica el tweet anterior, el CISA todavía tiene una pieza de evidencia, pero no puede revelarla, para que no queme contactos, fuentes y tal vez investigaciones en curso sobre el ataque.

¿Se acabó SolarWinds?

Según Microsoft, podría no serlo. Pero la verdad es que, con un ataque de esta naturaleza, uno que ha violado tantas redes diferentes en diversos grados, probablemente nunca sepamos el verdadero alcance de SolarWinds.

Es probable que haya empresas que fueron violadas, pero su red se consideró insuficiente en valor para continuar explotando, y tal es la habilidad del grupo de piratería, que es posible que no hayan dejado rastro de entrada.

En eso, SolarWinds no se trataba de causar una escena y sacudir las cosas. Fue el polo opuesto: cuidadosamente orquestado, requiriendo cantidades masivas de movimientos de precisión para trabajar en paso para evitar ser detectados.

Ciertamente abre la conversación sobre la divulgación responsable de vulnerabilidades, informes de errores y otras formas de fortalecer los protocolos de seguridad contra tales ataques.

¿Debería preocuparme por SolarWinds?

En lo que respecta a los consumidores habituales como usted y yo, esto está muy, muy por encima de nuestro nivel de pago.

Los ataques de esta naturaleza generalmente no afectan a los consumidores habituales, al menos no directamente como un ataque de phishing o alguien que instala malware en su computadora.