HudsonAnalytix alerta amenaza marítima cibernética por caso SolarWinds

En días recientes se dio a conocer el ataque cibernético a gran escala llevado a cabo en perjuicio de la empresa SolarWinds y sus clientes. A través de un software malicioso que afecta el software de monitoreo y gestión de sistemas informáticos de SolarWinds, un grupo de atacantes potencialmente logró acceder a las redes e información sensible de más de 30,000 organizaciones que utilizan los servicios Orion de dicha empresa.

De acuerdo con un análisis de la firma estadounidense HudsonAnalytix, se trata de un ciberataque “bastante sofisticado y extenso que puede traer consecuencias muy graves para todas las organizaciones víctimas”, donde figuran empresas del sector marítimo-portuario.

Los actores de ciber amenazas han conseguido acceso a numerosas entidades privadas y públicas alrededor del mundo. Estos accedieron de manera exitosa a sus víctimas a través de actualizaciones con virus de tipo troyanos al software de IT manejo y monitoreo de SolarWinds Orion. Puede ser que sus esfuerzos hayan iniciado desde la primavera 2020 y persisten hoy en día.

“Las actividades posteriores a esta brecha en la cadena de suministro incluyen robo de información y movimientos laterales. Estos actores de amenazas son altamente habilidosos y la operación fue llevada a cabo con un nivel de seguridad operacional considerable”, sostuvo la empresa.

Backdoor de SUNBURST

SolarWinds.Orion.Core.BusinessLayer.dll es un componente digitalmente firmado del marco del software Orion que contiene una puerta trasera (backdoor) que se comunica vía HTTP con servidores de terceras partes. Luego de un periodo de inactividad inicial de hasta 2 semanas, recupera y ejecuta comandos llamados “Trabajos” (Jobs), que incluyen la habilidad de transferir y ejecutar archivos, perfilar el sistema, reiniciar la máquina y desactivar los servicios del sistema.

El malware esconde su tráfico de red como el protocolo llamado Programa de Mejora Orion (Orion Improvement Programa OIP, por sus siglas en inglés) y almacena los resultados de su investigación dentro de configuraciones de archivos de plugins legítimos, lo que le permite mezclarse con actividad legítima de SolarWinds.

La puerta trasera (backdoor) utiliza múltiples listas de filtros de bloqueo ofuscadas para identificar las herramientas forenses y de anti-virus que estén siendo utilizadas, así como los servicios y drivers.

El archivo de actualización con que incluye el troyano es un Parche estándar del Windows Installer que incluye recursos comprimidos asociados con la actualización, incluyendo el componente con el troyano SolarWinds.Orion.Core.BusinessLayer.dll. Una vez que se instale la actualización, el DLL malicioso será cargado por el SolarWinds.BusinessLayerHost.exe o SolarWinds.BusinessLayerHostx64.exe legítimo (dependiendo de la configuración del sistema).

Luego de un periodo de inactividad de hasta 2 semanas, el malware intentará resolver el subdominio de avsvmcloud[.]com. La respuesta DNS devolverá un record CNAME que apunta a un dominio de Comando y Control (C2). El tráfico C2 a los dominios maliciosos está diseñado para imitar las comunicaciones normales API de SolarWinds. La lista de las contramedidas conocidas para el SUNBURST está disponible en el sitio web de FireEye’s GitHub en: https://github.com/fireeye/sunburst_countermeasures/blob/main/indicator…

Recomendaciones

De acuerdo con HudsonAnalytix, primero se debe actualizar la plataforma Orion lanzada 2020.2.1 HF 1, actualmente disponible vía el Portal de Clientes de SolarWinds.

En caso de que la organización no pueda seguir las recomendaciones de SolarWinds, las siguientes técnicas de mitigación inmediatas pueden ser ejecutadas como primeros pasos para enfrentar el riesgo del software de SolarWinds impactado por el troyano en el entorno.

Si se descubre alguna actividad del atacante, recomienda llevar a cabo una investigación profunda y diseñar y ejecutar una estrategia de reparación motivada por los hallazgos de la investigación y los detalles del entorno afectado.

Asimismo, debe asegurarse que los servidores de SolarWinds estén aislados/contenidos hasta que se lleve a cabo una investigación y revisión posterior. Esto debe incluir el bloqueo de todos los egresos a través de Internet hechos por los servidores de SolarWinds.

Si la infraestructura de SolarWinds no está aislada, considerar llevar a cabo los siguientes pasos:

- Restrinja el ámbito de conectividad de los puntos finales de los servidores de SolarWinds, especialmente los que serían considerados Nivel 0/activos tipo joyas principales.
- Restrinja el ámbito de cuentas que tienen privilegios de administrador local en los servidores de SolarWinds.
- Bloquee el egreso de Internet de los servidores u otros puntos finales que tengan el software de SolarWinds.

También debe considerarse (como mínimo) cambiar las contraseñas de las cuentas que tengan acceso a los servidores e infraestructura de SolarWinds. Puede ser que se requieran medidas de remediación adicionales, basadas en las investigaciones o revisiones posteriores.

Si se utiliza SolarWinds para manejo de infraestructura de redes, considerar llevar a cabo una revisión de las configuraciones de los dispositivos de red en búsqueda de modificaciones no autorizadas/inesperadas.

Revisa aquí la programación de: Diálogos Empresariales de Logística (de Grupo T21)

Comenta y síguenos en Twitter: @GrupoT21

  • Consulta la edición electrónica de la revista T21 de diciembre en este link
  • Suscríbete aquí al boletín de noticias de T21
  • Solicita tu suscripción a la revista impresa en: suscripciones@t21.com.mx