Proceso de la segunda fase del ciberataque de SolarWinds revelado por Microsoft
Microsoft explicó recientemente con mayor profundidad cómo tuvo lugar el ciberataque SolarWinds, detallando la segunda fase del ataque y los tipos de malware en uso.
Para un ataque con tantos objetivos de alto perfil como SolarWinds, todavía hay muchas preguntas que necesitan respuesta. El informe de Microsoft revela un tesoro de nueva información sobre el ataque, que cubre el período posterior a que los atacantes dejaron caer la puerta trasera de Sunburst.
Microsoft detalla la segunda fase del ciberataque de SolarWinds
El blog de seguridad de Microsoft ofrece una mirada a "El eslabón perdido", el período desde que se instaló la puerta trasera Sunburst (conocida como Solorigate por Microsoft) en SolarWinds hasta la implantación de varios tipos de malware dentro de las redes de la víctima.
Como ya sabemos, SolarWinds es uno de los "ataques de intrusión más sofisticados y prolongados de la década", y los atacantes "son hábiles operadores de campaña que planificaron y ejecutaron cuidadosamente el ataque, siendo esquivos y persistentes".
El blog de seguridad de Microsoft confirma que la puerta trasera Sunburst original se compiló en febrero de 2020 y se distribuyó en marzo. Luego, los atacantes eliminaron la puerta trasera Sunburst del entorno de compilación SolarWinds en junio de 2020. Puede seguir la línea de tiempo completa en la siguiente imagen.
Microsoft cree que los atacantes pasaron tiempo preparando y distribuyendo implantes Cobalt Strike personalizados y únicos e infraestructura de comando y control, y la "actividad real de manos en el teclado probablemente comenzó ya en mayo".
La eliminación de la función de puerta trasera de SolarWinds significa que los atacantes habían pasado de requerir acceso de puerta trasera a través del proveedor a acceso directo a las redes de la víctima. Eliminar la puerta trasera del entorno de compilación fue un paso hacia el disfraz de cualquier actividad maliciosa.
A partir de ahí, el atacante hizo todo lo posible para evitar la detección y distanciar cada parte del ataque. Parte del razonamiento detrás de esto fue que incluso si se descubría y eliminaba el implante de malware Cobalt Strike, la puerta trasera de SolarWinds seguía siendo accesible.
El proceso de anti-detección implicó:
- Implementación de implantes Cobalt Strike únicos en cada máquina
- Siempre desactivando los servicios de seguridad en las máquinas antes de continuar con el movimiento lateral de la red
- Limpiar registros y marcas de tiempo para borrar huellas, e incluso ir tan lejos como para deshabilitar el registro durante un período para completar una tarea antes de volver a encenderlo.
- Hacer coincidir todos los nombres de archivos y carpetas para ayudar a camuflar los paquetes maliciosos en el sistema de la víctima
- Usar reglas de firewall especiales para ocultar los paquetes salientes para procesos maliciosos, luego eliminar las reglas cuando haya terminado
El blog de seguridad de Microsoft explora la gama de técnicas con mucho más detalle, con una sección interesante que analiza algunos de los métodos anti-detección verdaderamente novedosos que utilizaron los atacantes.
SolarWinds es uno de los trucos más sofisticados jamás vistos
Hay pocas dudas en la mente de los equipos de seguridad y respuesta de Microsoft de que SolarWinds es uno de los ataques más avanzados de la historia.
La combinación de una cadena de ataque compleja y una operación prolongada significa que las soluciones defensivas deben tener una visibilidad completa entre dominios de la actividad de los atacantes y proporcionar meses de datos históricos con poderosas herramientas de búsqueda para investigar tan atrás como sea necesario.
También podría haber más víctimas por venir. Recientemente informamos que los especialistas en antimalware Malwarebytes también fueron el blanco del ciberataque, aunque los atacantes utilizaron un método de entrada diferente para obtener acceso a su red.
Dado el alcance entre la comprensión inicial de que se había producido un ciberataque tan enorme y la variedad de objetivos y víctimas, aún podría haber más empresas tecnológicas importantes para dar un paso adelante.
Microsoft emitió una serie de parches destinados a reducir el riesgo de SolarWinds y los tipos de malware asociados en su parche de enero de 2021 el martes . Los parches, que ya se han implementado, mitigan una vulnerabilidad de día cero que Microsoft cree que se vincula con el ciberataque de SolarWinds y que estaba bajo explotación activa en la naturaleza.