Zpedia 

/ ¿Qué es el ciberataque a Solarwinds?

¿Qué es el ciberataque a Solarwinds?

El ciberataque a SolarWinds fue un ataque a la cadena de suministro de software que involucró a la plataforma SolarWinds Orion, en el que un adversario del estado nación ruso obtuvo acceso a los sistemas de SolarWinds e implementó actualizaciones con troyanos para el software Orion. Esto, a su vez, permitió a los ciberdelincuentes instalar malware sigiloso en las redes de los clientes de SolarWinds. El ataque a SolarWinds fue revelado por varias empresas de ciberseguridad junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) en diciembre de 2020.
Lo que necesita saber sobre los ciberataques a SolarWinds
Confianza ceroProtección contra la amenaza cibernética
  1. ¿Qué es SolarWinds?
  2. Cómo funciona el ataque
  3. ¿Ha sido atacado?
  4. Mejores prácticas
  5. Zscaler puede ayudarle
  6. Recursos sugeridos
  7. Temas relacionados

¿Qué es SolarWinds?

SolarWinds es un proveedor de soluciones de software de administración de infraestructura de tecnología de la información (TI) con sede en Texas que permite a las organizaciones supervisar y administrar el rendimiento de sus entornos de TI.

SolarWinds Orion, una plataforma de administración y supervisión de infraestructura de red ampliamente utilizada, está diseñada para brindar a los clientes visibilidad de las redes de varios proveedores para que puedan identificar y solucionar problemas. Orion tiene más de 33 000 clientes, incluidas muchas grandes empresas del sector privado y agencias gubernamentales. Se cree que el ataque en cuestión afectó a aproximadamente 18 000 de estos clientes, más de la mitad.

El día después de que se revelara el ataque de SolarWinds, Forbes informó que los ataques podrían llegar al mismo corazón del sistema de seguridad de los Estados Unidos: “Según una revisión de los registros públicos, la gama de clientes del gobierno de los EE. UU. que compraron previamente SolarWinds Orion es enorme. El Pentágono es el mayor cliente, siendo el Ejército y la Marina importantes usuarios. El Departamento de Asuntos de Veteranos, los Institutos Nacionales de Salud, el Departamento de Energía, el DHS y el FBI también se encuentran entre las muchas ramas del gobierno de los EE. UU. que habían comprado la herramienta anteriormente”.

Cita

No se perpetró mediante bombas como el ataque a Pearl Harbor, pero este ataque a nuestras agencias nacionales y compañías estadounidenses Fortune 500 puede resultar aún más perjudicial para nuestra seguridad nacional y nuestra prosperidad empresarial.

Steven J. Vaughan-Nichols, ZD-Net, 4 de enero de 2021

SolarWinds: cuanto más sabemos, peor parece

¿Cómo funcionó el ciberataque a SolarWinds?

El ataque, que llegó a conocerse como SUNBURST en las comunicaciones de SolarWinds, afectó a las versiones de Orion 2019.4 a 2020.2.1, lanzadas entre marzo y junio de 2020.

Para llevar a cabo el ataque, los piratas informáticos modificaron un complemento de la plataforma Orion distribuido como parte de las actualizaciones de la plataforma Orion. Firmado digitalmente por SolarWinds, contiene una puerta trasera que se comunica con servidores de terceros bajo el control de los atacantes. Una vez que los atacantes establecieron un punto de apoyo en las organizaciones afectadas, pudieron robar datos, implementar códigos maliciosos o interrumpir la actividad empresarial.

El ataque fue obra de un adversario sofisticado con un profundo conocimiento de la seguridad operativa. Según los datos disponibles públicamente, este adversario demostró esfuerzos significativos para evadir la detección, incluidas técnicas de limpieza y ofuscación de código como esteganografía, técnicas de huellas dactilares para identificar sistemas de destino y sistemas de análisis, infraestructura rotativa con un enfoque en la proximidad de geolocalización y ejecución de código en memoria en la medida de lo posible.

Estas técnicas, en combinación con el uso de un componente firmado digitalmente de una plataforma de software confiable como vector de infección inicial, indican un adversario encubierto y altamente cualificado dispuesto a gastar recursos para asegurar el éxito de su operación.

Respuesta y sanciones de EE. UU. tras el ataque

El ataque afectó a varias agencias gubernamentales federales estadounidenses de alto perfil, incluido el Departamento de Justicia (DOJ), el Departamento de Seguridad Nacional (DHS) y el Departamento del Tesoro, entre otros. Expuso los entornos de correo electrónico de Microsoft 365 de varias agencias federales, lo que constituye un "incidente importante" que justificó una respuesta defensiva.

Una declaración de la Casa Blanca en abril de 2021 informó que la Administración de Biden “impondría costes a Rusia por las acciones de su gobierno y los servicios de inteligencia contra la soberanía y los intereses de los Estados Unidos”. Estas acciones se dirigieron a organismos gubernamentales, comerciales y de inteligencia rusos, incluida la expulsión de representantes diplomáticos de los servicios de inteligencia rusos de los EE. UU.

La misma declaración declaró formalmente autor del ataque al Servicio de Inteligencia Exterior de Rusia (SVR). La CISA, la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) publicaron un informe de seguridad conjunto que contenía más detalles.

Cita

[Los ataques a la cadena de suministro] son algunos de los tipos de amenazas más difíciles de prevenir porque aprovechan las relaciones de confianza entre proveedores y clientes, y los canales de comunicación de máquina a máquina, como los mecanismos de actualización de software en los que los usuarios confían inherentemente.

Lucian Constantin, CSO Online, 15 de diciembre de 2020

Explicación del ataque de SolarWinds: y por qué fue tan difícil de detectar

¿Cómo saber si ha sido atacado?

Para no ser detectado, el adversario parece haber usado la puerta trasera en SolarWinds Orion solo cuando el entorno de destino era de interés específico. Por tanto, analizar la actividad de su red es la única forma de saber si un atacante ha buscado o ha obtenido acceso.

Se sospecha que la campaña comenzó durante o antes de marzo de 2020 (con posibles pruebas ya en octubre de 2019) y no involucró a ningún indicador conocido de compromiso. Debido al volumen de datos involucrados, muchas organizaciones no mantienen registros de acceso durante el tiempo suficiente para determinar si se produjo o no un compromiso.

Si un adversario implementa malware en su entorno a través de un sistema Orion comprometido, es probable que use privilegios escalados para comenzar a explorar qué acciones puede tomar. Esté atento al sistema Orion afectado u otros sistemas que se hayan comunicado con él, para detectar comportamientos como:

  • Modificación de tareas del sistema
  • Patrón de acción de eliminar-crear-ejecutar-eliminar-crear directorio
  • Cuentas de usuario locales recién creadas o desconocidas
  • Existencia o evidencia de uso de Adfind.exe
  • Signos de cmd.exe o rundll32.exe generados desde solarwinds.businesslayerhost.exe
  • Existencia de reglas de reenvío/eliminación de correo electrónico desconocidas y/o muy amplias en la puerta de enlace de correo electrónico

Versiones y productos de Orion comprometidos

La forma más fácil de saber si puede haber sido atacado es determinar si está utilizando un producto Orion comprometido en su entorno. Las versiones de la plataforma Orion afectadas incluyen:

  • 2019.4 HF5, versión 2019.4.5200.9083
  • 2020.2 RC1, versión 2020.2.100.12219
  • 2020.2 RC2, versión 2020.2.5200.12394
  • 2020.2, versión 2020.2.5300.12432
  • 2020.2 HF1, versión 2020.2.5300.12432

Qué hacer si está en peligro

Si está utilizando una versión comprometida de la plataforma Orion:

  1. Aísle, desconecte o apague inmediatamente los sistemas infectados
  2. Revise los registros para identificar la actividad de comando y control, o el movimiento lateral de los sistemas infectados
  3. Restablezca todas las credenciales que SolarWinds Orion y los servicios asociados utilizan
  4. Actualice Orion a la última versión, de acuerdo con este aviso
  5. Determine si está ejecutando otros productos SolarWinds afectados que se enumeran en el aviso

Cita

Las empresas, como usuarios de software, también deberían comenzar a pensar en aplicar los principios de redes de confianza cero y los controles de acceso basados en roles no sólo para los usuarios, sino también para las aplicaciones y los servidores.

Lucian Constantin, CSO Online, 15 de diciembre de 2020

Explicación del ataque de SolarWinds: y por qué fue tan difícil de detectar

Mejores prácticas para proteger su organización

Los ataques a la cadena de suministro aún están evolucionando, y no hay duda de que los adversarios encontrarán nuevas formas de comprometer las operaciones y los datos confidenciales de las agencias públicas y las empresas privadas por igual. Para reducir su riesgo en la medida de lo posible, Zscaler recomienda seguir estos pasos:

  • Elimine su superficie de ataque orientada a Internet, detenga el movimiento lateral y bloquee C2 con una arquitectura de confianza cero.
  • Habilite la inspección TLS/SSL completa y la prevención de amenazas avanzadas en el tráfico de cargas de trabajo a Internet.
  • Ejecute un sandbox en la nube en línea para identificar y detener amenazas desconocidas.
  • Aplique protecciones para el tráfico C2 conocido con actualizaciones continuas a medida que surgen nuevos destinos.
  • Limite el impacto del movimiento lateral con microsegmentación basada en identidad para cargas de trabajo en la nube.
  • Elija proveedores que puedan dar fe de los más altos niveles de confidencialidad, integridad y disponibilidad.

Incluso si no toma otras medidas, estas dos son las más críticas, lo que hace que sea mucho más difícil para un adversario infringir su entorno, pero más fácil para usted detectar actividad inesperada:

  • Refuerce el acceso con privilegios mínimos para limitar las capacidades de los adversarios para explotar su posición.
  • Exija autenticación multifactor para cualquier acceso a objetivos de alto valor.

¿Cómo puede ayudar Zscaler?

Los ataques a la cadena de suministro se encuentran entre las ciberamenazas modernas más sofisticadas y difíciles de detectar. Para defenderse de ellos con confianza, necesita una visibilidad completa de todo el tráfico en su entorno, múltiples capas de seguridad y una comprensión clara de la postura de seguridad de todas sus organizaciones asociadas.

Zscaler Zero Trust Exchange™ protege a su organización frente a ataques avanzados a la cadena de suministro con servicios integrados de forma nativa y potentes capacidades líderes en el sector que le permiten:

Explore las características y las ventajas de Zero Trust Exchange, líder en el sector.

Recursos sugeridos

Zscaler ThreatLabz: Centro de respuesta de SolarWinds
Encuentre recursos
Ataques a la cadena de suministro: qué son, cómo funcionan y cómo proteger a su organización
Leer el blog
La guía del autoestopista para responder al incidente de SolarWinds
Leer el blog
Cobertura de Zscaler para ataques cibernéticos a SolarWinds y robo de herramientas de Red Team de FireEye
Leer el blog
¿Está preparado para los ataques de la guerra cibernética rusa?
Leer el blog

01 / 03