Noticias Tecnológicas

Los piratas informáticos de SolarWinds tienen un conjunto completamente nuevo de trucos para ataques de compromiso masivo

Hace casi exactamente un año, los investigadores de seguridad descubrieron una de las peores filtraciones de datos en la historia moderna, si no es que alguna: una campaña de piratería respaldada por el Kremlin que comprometió los servidores del proveedor de administración de red SolarWinds y, a partir de ahí, las redes de 100 de sus usuarios. clientes de más alto perfil, incluidas nueve agencias federales de EE. UU.

Nobelium, el nombre que Microsoft dio a los intrusos, finalmente fue expulsado, pero el grupo nunca se rindió y solo se volvió más audaz y más hábil para piratear un gran número de objetivos a la vez. El último recordatorio de la competencia del grupo proviene de la firma de seguridad Mandiant, que el lunes publicó un estudio que detalla los numerosos logros de Nobelium, y algunas fallas, mientras continuaba violando las redes de algunos de sus objetivos más valiosos.

Abusar de la confianza

Una de las cosas que hizo que Nobelium fuera tan impresionante fue la creatividad de sus TTP, pirateando el lenguaje para tácticas, técnicas y procedimientos. En lugar de piratear cada objetivo de uno en uno, el grupo pirateó la red de SolarWinds y utilizó el acceso de los clientes y la confianza en la empresa para entregar una actualización maliciosa a alrededor de 18.000 de sus clientes.

Casi de inmediato, los piratas informáticos podrían infiltrarse en las redes de cualquiera de estas unidades. Sería comparable a un ladrón que irrumpe en el local de un cerrajero y recibe una llave maestra que abre las puertas de todos los edificios del barrio y se ahorra la laboriosa tarea de abrir cada cerradura. El método de Nobelium no solo fue escalable y eficiente, sino que también facilitó mucho la ocultación de los compromisos masivos.

El informe de Mandiant muestra que el ingenio de Nobelium no ha disminuido. Según investigadores corporativos, los dos grupos de piratas informáticos asociados con el hack de SolarWinds, uno llamado UNC3004 y el otro UNC2652, han desarrollado desde el año pasado nuevas formas de comprometer un gran número de objetivos de manera eficiente.

En lugar de envenenar la cadena de suministro de SolarWinds, las corporaciones han comprometido las redes de proveedores de soluciones en la nube y proveedores de servicios administrados, o CSP, que son empresas de terceros subcontratadas en las que muchas grandes empresas confían para una amplia gama de servicios de TI. Luego, los piratas informáticos encontraron formas inteligentes de utilizar estos proveedores comprometidos para ingresar a sus clientes.

«Esta actividad de intrusión refleja un grupo bien equipado de actores de amenazas que operan con gran preocupación por la seguridad operativa», dijo el informe el lunes. «Abusar de un tercero, en este caso un CSP, puede, a través de un único compromiso, facilitar el acceso a una multitud de víctimas potenciales».

Artesanía avanzada

La nave avanzada no se detuvo allí. Según Mandiant, otras tácticas avanzadas e ingenio incluyeron:

  • Uso de credenciales robadas por piratas informáticos con motivación financiera con malware como Cryptbot, un robo de información que recolecta credenciales del sistema y del navegador web, así como carteras de criptomonedas. La ayuda de estos piratas informáticos permitió que UNC3004 y UNC2652 pusieran en peligro objetivos incluso si no estaban utilizando un proveedor de servicios pirateado.
  • Una vez en una red, los grupos de piratas informáticos comprometieron los filtros de spam corporativos u otro software con «permisos de suplantación de la aplicación» que podían acceder al correo electrónico u otros tipos de datos de cualquier otra cuenta en la red comprometida. Hackear esa única cuenta le ahorró la molestia de entrar en cada cuenta individualmente.
  • El uso indebido de servicios de proxy privados legítimos o proveedores de nube ubicados geográficamente, como Azure, para conectarse a destinos finales. Cuando los administradores de las empresas pirateadas comprobaron los registros de acceso, vieron conexiones de ISP locales en regla o proveedores en la nube que se encontraban en la misma región que las empresas. Esto ayudó a encubrir los robos, ya que los piratas informáticos patrocinados en todo el país a menudo usan direcciones IP dedicadas que despiertan sospechas.
  • Formas inteligentes de eludir las restricciones de seguridad, como la extracción de máquinas virtuales para determinar las configuraciones de enrutamiento interno de las redes que están siendo pirateadas.
  • Acceda a un Active Directory almacenado en la cuenta de Azure de un objetivo y use esta poderosa herramienta de administración para robar claves criptográficas que generarían tokens que podrían eludir la protección de autenticación de dos factores. Esta técnica les dio a los intrusos lo que se conoce como un SAML dorado, similar a una llave maestra, que desbloquea cualquier servicio que utilice el Lenguaje de marcado de aserción de seguridad, el protocolo, el inicio de sesión único, 2FA y otros mecanismos de seguridad para funcionar.
  • Usando un descargador personalizado llamado Ceeloader.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba