Varias empresas ofrecen un killswitch para impedir ataques en productos Solarwinds

De el posible caso de hacking en Google Mail no sabemos nada definitivo. Lo que sí sabemos seguro es que, utilizando como trampolín a la firma de seguridad FireEye, supuestos grupos de hackers rusos han irrumpido en decenas de organismos estadounidenses para llevarse información.

El pasado 13 de Diciembre, la CISA (Cybersecurity and Infrastructure Security Agency) emitió un comunicado de emergencia para «desconectar inmediatamente los productos SolarWinds Orion«, dado que estaban siendo utilizados para atacar sistemas indiscriminadamente.

SolarWinds ofrece software de gestión y monitorización de redes, siendo utilizado por decenas de empresas del Fortune 500. Estamos hablando de unos 18000 clientes afectados.

SolarWinds Orion comprometido, afecta al sector privado

A comienzos de semana, un equipo vinculado a Rusia se coló en los sistemas de SolarWinds. Los atacantes habían utilizado para ello una versión del software Orion «troyanizada» para distribuir la backdoor o puerta trasera, conocida como Solarigate (según Microsoft) o SUNBURST, para el resto.

Mientras el gobierno americano intenta contener la campaña masiva de ataques (del este de Europa, según dicen) que se ha iniciado desde software de la empresa SolarWinds, otras firmas de ciberseguridad intentan desbaratar la infraestructura montada por los atacantes.

Se trató de un ciberataque a la cadena de suministro (supply chain), en el que Microsoft también se habría visto comprometida.

Al igual que con el software de gestión de red de SolarWinds, los propios productos de Microsoft fueron luego utilizados para realizar nuevos ataques en los objetivos.

No se hizo patente de forma inmediata cuántos usuarios de Microsoft habían sido afectados por los producots manipulados.

Reuters

Microsoft se ha visto en un brete, y ha salido al paso con un Tweet aclaratorio, como se puede ver más abajo.

pic.twitter.com/2GBfCTRSQx

— Frank X. Shaw (@fxshaw) December 18, 2020

Igual que otros clientes de SolarWinds, hemos empezado a buscar activamente indicadores de este actor y podemos confirmar que hemos detectado binarios maliciosos en nuestro entorno, que ya fueron aislados y eliminados.

No hemos encontrado evidencia de acceso a servicios de producción ni datos de clientes. Nuestras investigaciones, que continúan adelante, no han encontrado absolutamente nada que indique posibles ataques originados desde nuestros sistemas.

Microsoft

Otros vectores de infección y afectación a EEUU

La CISA publicó una alerta para alertar de un compromiso en los sistemas de las agencias de EEUU, agencias gubernamentales, entidades de infraestructuras críticas y sector privado.

Hablamos de una APT o Amenaza Persistente Avanzada. Es un ataque de alta complejidad que busca permanecer oculto en sistemas sin hacer ruido, durante el mayor tiempo posible. El primer compromiso se estima que habría ocurrido, quizá, en Marzo de 2020.

El grupo responsable del ciberataque habría demostrado gran paciencia y dominio técnico para conseguir su propósito de infectar tantas organizaciones durante meses.

CISA tiene evidencia de otros vectores de acceso adicionales que van más allá de SolarWinds. Sin embargo, aún se están investigando.

CISA

En el transcurso del ataque se habría empleado malware conocido como TEARDROP y Cobalt Strike BEACON. Existe mucha variedad de comportamiento o «payload» entre diferentes muestras recopiladas.

TEARDROP es un dropper o capturador de memoria que se ejecuta como servicio, no ha sido observado anteriormente. Se trata de un fichero con una cabecera JPEG que pretende evadir así los sistemas de protección de host y de red.

Además, los atacantes han utlizado servidores VPN para obtener IPs de los países donde se situaban las víctimas, para evadir las detecciones regionales.

Microsoft, FireEye y GoDaddy crean un Kill-switch

Al fin buenas noticias. Estas tres importantes empresas (GoDaddy es un importante suministrador de TLDs o dominios) han diseñado conjuntamente un killswitch mecanismo de atacar el backdoor SUNBURST, empleado en el reciente ciberataque.

Dependiendo de la IP devuelta cuando el malware resuelve el dominio avsvmcloud[.]com, bajo ciertas circunstancias, el malware se auto terminará y no se volverá a ejecutar. FireEye ha colaborado con GoDaddy y Microsoft para desactivar las infecciones de SUNBURST.

FireEye

Según FireEye, si el servidor C2 resolviera por alguna de las direcciones IP contenidas en los siguientes rangos de red, la puerta trasera quedaría invalidada permanentemente y se detendría en el acto.

• 10.0.0.0/8
• 172.16.0.0/12
• 192.168.0.0/16
• 224.0.0.0/3
• fc00:: – fe00::
• fec0:: – ffc0::
• ff00:: – ff00::
• 20.140.0.0/15
• 96.31.172.0/24
• 131.228.12.0/22
• 144.86.226.0/24

Esto afectaría a nuevas víctimas de SUNBURST, aunque también a las existentes.

¿Qué ha hecho GoDaddy?

Algo sencillo y efectivo, que no es otra cosa que dar de alta una entrada DNS de tipo wildcard que resuelva cualquier subdominio de avsvmcloud[.]com hacia 20.140.0.1. Esta Ip está controlada por Microsoft.

Dicha IP está en el rango 20.140.0.1/15 y provoca la terminación exitosa del malware.

¿Eso es todo?

No, debemos tener en cuenta que, aunque con el killswitch hemos conseguido terminar la infección SUNBURST, podría haber otros payload existentes en los sistemas afectados y podrían seguir funcionando normalmente. Así que, como dice Alex Stamos en Twitter, queda mucho trabajo por hacer.

This is great, but there are 18,000 potential victims who now need to look for SVR persistence mechanisms buried in their network and way way fewer than 18,000 qualified threat hunting teams on the planet.

None of this work is impossible, but the scale issues are daunting. https://t.co/O4kIzerh69

— Alex Stamos (@alexstamos) December 16, 2020

La firma de seguridad china RedRip ha publicado en Github sus propias conclusiones. Afirman que su «decoder» ha identificado ya a más de 100 víctimas posibles de SolarWinds Orion, lo que incluye universidades, gobiernos y empresas privadas de tecnología.

IOCs

Muchas actualizaciones de producto, infectadas con troyano y firmadas digitalmente por SolarWinds, han sido publicadas en la web destinada a tal efecto por SolarWinds.

hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp

Información sobre el proceso

file_operation_closed
file-path*: “c:\\windows\\syswow64\\netsetupsvc.dll
actor-process:
pid: 17900

Entrada registrada en log de Windows Defender Exploit Guard.

Process”\Device\HarddiskVolume2\Windows\System32\svchost.exe” (PID XXXXX) would have been blocked from loading the non-Microsoft-signed binary
‘\Windows\SysWOW64\NetSetupSvc.dll’

Más información en GitHub. En dicho repositorio encontrarás:

• Reglas Yara
• Snort
• Otros IOC
• ClamAV

Referencias adicionales

https://us-cert.cisa.gov/ncas/alerts/aa20-352a