El software Trojanizado SolarWinds formó el núcleo de la operación de espionaje
Microsoft compartió el miércoles más detalles sobre las tácticas, técnicas y procedimientos (TTP) adoptados por los atacantes detrás del hack de SolarWinds para permanecer fuera del radar y evitar la detección, mientras las empresas de ciberseguridad trabajan para obtener una "imagen más clara" de uno de los ataques más sofisticados en la historia reciente.
Al llamar al actor de amenazas "hábiles y metódicos operadores que siguen las mejores prácticas de seguridad de operaciones (OpSec)", la compañía dijo que los atacantes hicieron todo lo posible para garantizar que la puerta trasera inicial ( Sunburst alias Solorigate) y los implantes posteriores al compromiso ( Teardrop y Raindrop ) estuvieran lo más separados posible para dificultar los esfuerzos por detectar su actividad maliciosa.
"Los atacantes detrás Solorigate son operadores expertos de campaña que cuidadosamente planearon y ejecutaron el ataque, que quedan difícil de alcanzar mientras se mantiene la persistencia", dijeron investigadores de Microsoft Team 365 Defensor de Investigación, Centro de Inteligencia (MSTIC), y Microsoft Defensa Cibernética Centro de Operaciones (CDOC) Microsoft Amenaza.
Si bien la identidad exacta del grupo rastreado como StellarParticle (CrowdStrike), UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42) y Dark Halo (Volexity) sigue siendo desconocida, el gobierno de EE. UU. a principios de este mes vinculó formalmente la campaña de espionaje a un grupo probablemente de origen ruso.
Una variedad de tácticas para no ser detectados
La cronología de los ataques de Microsoft muestra que la puerta trasera Sunburst DLL completamente funcional se compiló e implementó el 20 de febrero en la plataforma Orion de SolarWinds, luego de lo cual se distribuyó en forma de actualizaciones manipuladas en algún momento a fines de marzo.
Un período de reconocimiento de casi dos meses para perfilar sus objetivos, algo que requiere una persistencia sigilosa para permanecer sin ser detectado y recopilar valiosa información, finalmente allanó el camino para el despliegue de implantes Cobalt Strike en redes de víctimas seleccionadas en mayo y la eliminación de Sunburst del entorno de construcción SolarWinds el 4 de junio.
Pero las respuestas sobre cómo y cuándo ocurre la transición de Sunburst a Raindrop han arrojado pocas pistas definitivas, incluso si parece que los atacantes separaron deliberadamente la ejecución del cargador Cobalt Strike del proceso SolarWinds como una medida de OpSec.
La idea es que, en caso de que se descubrieran los implantes Cobalt Strike en las redes objetivo, no revelarían el binario SolarWinds comprometido y el ataque a la cadena de suministro que llevó a su implementación en primer lugar.
Los hallazgos también dejan en claro que, si bien los piratas informáticos se basaron en una serie de vectores de ataque, el software Trojanizado SolarWinds formó el núcleo de la operación de espionaje:
• Evitación metódica de indicadores compartidos para cada host comprometido mediante la implementación de implantes DLL Cobalt Strike personalizados en cada sistema
• Camuflar herramientas maliciosas y binarios para imitar archivos y programas existentes que ya están presentes en la máquina comprometida.
• Deshabilitar el registro de eventos usando AUDITPOL antes de la actividad práctica del teclado y habilitarlo una vez que se complete
• Crear reglas de firewall especiales para minimizar los paquetes salientes para ciertos protocolos antes de ejecutar actividades ruidosas de enumeración de redes que luego se eliminaron después de la encuesta de red
• Ejecutar actividades de movimiento lateral solo después de deshabilitar los servicios de seguridad en hosts específicos
• Supuestamente utilizando timestomping para cambiar las marcas de tiempo de los artefactos y aprovechando los procedimientos y herramientas de borrado para evitar el descubrimiento de implantes DLL maliciosos
Adoptar una mentalidad de confianza cero
"Este ataque fue a la vez sofisticado y ordinario", dijo Microsoft. "El actor demostró sofisticación en la variedad de tácticas utilizadas para penetrar, expandirse y persistir en la infraestructura afectada, pero muchas de las tácticas, técnicas y procedimientos (TTP) eran individualmente ordinarios".
Para protegerse contra tales ataques en el futuro, la compañía recomienda que las organizaciones adopten una "mentalidad de confianza cero" para lograr el acceso con menos privilegios y minimizar los riesgos al permitir la autenticación de múltiples factores.
"Con Solorigate, los atacantes aprovecharon las amplias asignaciones de funciones, los permisos que excedían los requisitos de las funciones y, en algunos casos, abandonaron cuentas y aplicaciones que no deberían haber tenido ningún permiso", dijo Alex Weinert, director de seguridad de identidad de Microsoft.
