A medida que la evidencia forense se está desenterrando
lentamente después del ataque a la cadena de suministro de SolarWinds, los
investigadores de seguridad han descubierto un segundo actor de amenazas que ha
aprovechado el software SolarWinds para plantar malware en redes corporativas y
gubernamentales.
Los detalles sobre este segundo actor de amenazas aún son
escasos, pero los investigadores de seguridad no creen que esta segunda entidad
esté relacionada con los presuntos piratas informáticos respaldados por el
gobierno ruso que violaron SolarWinds para insertar malware dentro de su
aplicación oficial Orion.
El malware utilizado en el ataque con nombre en código
Sunburst (o Solorigate), se entregó a los clientes de SolarWinds como una
actualización para la aplicación Orion.
En las redes infectadas, el malware hacía ping a sus
creadores y luego descargaba un troyano de puerta trasera de segunda etapa
llamado Teardrop que permitía a los atacantes iniciar una sesión práctica en el
teclado, también conocida como ataque operado por humanos.
Los informes de Guidepoint, Symantec y Palo Alto Networks
detallaron cómo los atacantes también estaban instalando un shell web .NET
llamado Supernova.
Los investigadores de seguridad creían que los atacantes
estaban usando el shell web de Supernova para descargar, compilar y ejecutar un
script de Powershell malicioso (que algunos han llamado CosmicGale).
Sin embargo, en el análisis de seguimiento de los equipos de
seguridad de Microsoft, ahora se aclaró que el shell web de Supernova no
formaba parte de la cadena de ataque original.
Las empresas que encuentran Supernova en sus instalaciones
de SolarWinds deben tratar este incidente como un ataque separado.
Según una publicación en GitHub del analista de seguridad de
Microsoft Nick Carr, el shell web de Supernova parece estar plantado en las
instalaciones de SolarWinds Orion que se han dejado expuestas en línea y sin
ajustar y vulnerables a una vulnerabilidad rastreada como CVE-2019-8917.
La confusión de que Supernova estaba relacionada con la
cadena de ataque Sunburst + Teardrop provino del hecho de que al igual que
Sunburst, Supernova se disfrazó como una DLL para la aplicación Orion, con
Sunburst escondido dentro del archivo SolarWinds.Orion.Core.BusinessLayer.dll y
Supernova dentro de App_Web_logoimagehandler.ashx.b6031896.dll.
This is excellent analysis of a webshell!
However, SUPERNOVA & COSMICGALE are unrelated to this intrusion campaign.
You should definitely investigate them separately bc they are interesting – but don’t let it distract from the SUNBURST intrusions.
Details: https://t.co/6FA6VlABV3— Nick Carr (@ItsReallyNick) December 17, 2020
Pero en un análisis publicado el viernes 18 de diciembre por
la noche, Microsoft dijo que, a diferencia de la DLL Sunburst, la DLL Supernova
no estaba firmada con un certificado digital legítimo de SolarWinds.
El hecho de que Supernova no estuviera firmada se consideró
extremadamente inusual por los atacantes, quienes hasta entonces mostraron un
alto grado de sofisticación y atención al detalle en su operación.
Esto incluyó pasar meses sin ser detectado en la red interna
de SolarWinds, agregar código de búfer ficticio a la aplicación Orion por
adelantado para disfrazar la adición de código malicioso más tarde y disfrazar
su código malicioso para que parezca que los desarrolladores de SolarWinds lo
escribieron ellos mismos.
Todo esto parecía un error demasiado evidente que los
atacantes iniciales no habrían cometido y, como resultado, Microsoft cree que
este malware no está relacionado con el ataque original de la cadena de
suministro de SolarWinds.
Fuente: ZDNet
