SOLARWINDS – UN ATAQUE SOFISTICADO A TRAVÉS DE UN PROVEEDOR CONFIABLE
Por: Felix Negron
● Licenciado en Tecnología de la información.
● Maestro en Informática.
● CEO de ThreatSHIELD Security Panamá (LATAM).
● Miembro activo de la Alianza del Sector Privado del FBI.
● Certificado en CJIS (Criminal Justice Information Services) de Nivel 4.
● Presidente de la fundación Protegiendo a Niños Desamparados.
SolarWinds Orion ofrece un software para la administración de ambientes tecnológicos, brindando capacidades de monitoreo centralizado y gestión de recursos incluyendo ambientes virtuales.
El reciente ataque a SolarWinds Orion forma parte de una cadena sistemática de ataques sofisticados y por su impacto puede catalogarse como uno de los más graves de la historia del año 2020, incluso de todos los tiempos.
El ataque se originó aprovechando las actualizaciones del software de SolarWinds Orion, constituyéndose en un ataque de puerta trasera con una exposición potencial de 18.000 clientes de SolaWinds. Dentro de las potenciales víctimas, de distintos países, se encuentran hospitales, instituciones financieras, entidades gubernamentales, proveedores de equipos de comunicaciones e inclusive, compañias de servicios informáticos.
Los Sistemas infectados en las diversas organizaciones comprometidas, se configuraron para sondear los sistemas del Ciber ataque para solicitar instrucciones.
La cronología del ataque fue la siguiente:
- Los atacantes introdujeron un código malicioso dentro de un componente de DLL del software
- Una vez instalado en la institución, el software malicioso carga y agrega código que permite un ataque de puerta trasera
- El Sortware se conecta a un centro de comando enviando información sensible, aprovehcando el hecho que este tipo de comunicaciones son invisibles a los sistemas de seguridad perimetral
- El atacante toma control dentro del sistema y ejecuta distintas acciones
Se determinó que algunas de las organizaciones afectadas, el Ciberatacante seleccionó explícitamente las futuras actividades, donde es posible que se produjera un mayor compromiso interno.
Si bien es probable que esto sea solo una pequeña parte de alcance del ataque, proporciona indicaciones sobre el tipo de organizaciones que fueron los objeto real del ataque. Destacan algunos nombres como ggs-us.cisco (Cisco GGSG), us.deloitte.co (Deloitte), nswhealth.net (NSW Ministry of Health en Australia) banccentral.com (proveedorde servicios TI y seguridad de Bancos), y muchos otros.
Según los nombres internos decodificados de las víctimas, también hay indicadores de Mediatek, el segundo mayor proveedor de semiconductores para teléfonos móviles a nivel mundial, fue blanco explícito del actor de la amenaza.
“El reciente ataque a SolarWinds
Orion forma parte de una cadena
sistemática de ataques sofisticados
y por su impacto puede catalogarse
como uno de los más graves de la
historia del año 2020, incluso de
todos los tiempos”
Esto no está confirmado en este momento, pero si se confirma, tendría consecuencias masivas a nivel mundial. Es probable que el impacto de este ataque sea de proporciones gigantescas. Lo más probable es que nunca se comunique al público el alcance total de esta infracción y, en cambio, se limitará a partes confiables de Agentes de Inteligencia.
Recomendaciones Criticas: Una Auditoría Forense profunda ante está situación, es de carácter critico, así como reforzar la seguridad sobre todo en ataques invisibles.
La única forma de protegerse ante este tipo de ataques sofisticados es contar con una plataforma de quinto (5to) nivel de ciberseguridad capaz de detectar y anular ataques en tiempo real, sean a través de movimientos laterales dentro de la red y así mismo comunicación entrante o saliente que es invisible a los sistemas de seguridad tradicional.
Los ataques sofisticados han evolucionado de tal forma que se especializan en anular los sistemas de defensa como Firewalls, SIEMs, Antivirus o las medidas preventivas de los sistemas operativos. Esto requiere una tecnología igualmente sofisticada que pueda anular ataques en tiempo cero, es decir, en las primeras décimas de segundo de iniciado el ataque y anularlo en menos de 30 segundos, así mismo anular ataques internos desde su origen.