Se revelan nuevos detalles sobre el ataque contra Solarwinds
Aunque resulta obvio mencionar que los actores de amenazas detrás del ataque a SolarWinds cuentan con conocimientos avanzados, la comunidad de la ciberseguridad no había sido capaz de definir concretamente sus métodos de ataque, al menos hasta ahora. En un reciente reporte, los equipos de seguridad de Microsoft detallaron algunas de las técnicas empleadas por estos hackers para persistir en los sistemas afectados sin llamar la atención de alguna herramienta de seguridad, un factor clave para el éxito de esta campaña.
Aunque las variantes de malware Sunburst y Solorigate fueron detectadas a finales de 2020, en las semanas recientes se reveló que los operadores de este ataque inyectaron el malware Sunspot en los sistemas comprometidos desde septiembre de 2019, momento en el que inició el ataque a las redes de SolarWinds.
Los expertos mencionan que Sunburst se inyectó en el software de monitoreo SolarWinds Orion para implantar un backdoor en las redes que usaban esta herramienta. Muchas de estas cargas incluían cargadores personalizados para el kit Cobalt Strike, los cuales incluían Teardrop: “Una etapa no definida del ataque era el paso del backdoor al cargador de Cobalt Strike. Descubrimos que los hackers mostraron un enfoque especial para asegurarse de que los componentes no tuvieran conexiones aparentes y así evitar la detección”, menciona el reporte de Microsoft.
Los investigadores de Microsoft mencionan que los actores de amenazas eliminaron el backdoor Sunburst en junio de 2020 después de distribuirlo durante marzo de 2020, comenzando sus pruebas en entornos reales entre mayo y junio de 2020. El reporte también menciona que los atacantes pasaron más de un mes delimitando a sus posibles víctimas, además de preparar su infraestructura C&C: “Aunque el malware habría sido inyectado hasta en 18 mil redes corporativas y gubernamentales, las actividades prácticas de los hackers fueron fundamentales para el compromiso de sus principales objetivos”, agrega el reporte.
Además, los atacantes también intentaron separar la ejecución del cargador Cobalt Strike del proceso SolarWinds para garantizar una infección exitosa: “Los hackers esperaban que, en caso de que Cobalt Strike fuese detectado y eliminado, el binario SolarWinds comprometido seguiría activo”.
Los hackers prepararon los implantes de Cobalt Strike de forma personalizada para cada máquina, evitando la superposición de nombres de carpeta, nombres de archivo, solicitudes HTTP, marcas de tiempo, entre otros indicadores de compromiso, concluye Microsoft. El ataque a SolarWinds sigue demostrando ser una campaña de explotación altamente sofisticada, por lo que los especialistas creen que es poco probable que este sea el último reporte elaborado al respecto que contenga nuevos detalles. Los expertos prevén que estos reportes ayudarán a entender de la mejor forma este incidente y evitar que sucedan nuevamente en el futuro.
