El jueves, los investigadores de la compañía de seguridad cibernética RiskIQ publicaron un informe sobre la huella de la infraestructura de red de los ciberataques vinculados a SolarWinds. Donde ha podido identificar más de una docena de servidores de comando y control nuevos utilizados en el ataque a la cadena de suministro.
El actor de la amenaza identificado por el gobierno de los EE. UU. como APT29, pero identificado por las compañías de seguridad cibernética UNC2452 (FireEye), Nobelium (Microsoft), StellarParticle (Crowdstrike) y Dark Halo (Volexity). Comprometieron durante meses infraestructura para ejecutar el ataque.
Muchos de estos servidores de comando y controles fueron alojados dentro de los EE. UU. En servicios de proveedores de infraestructura en la nube, de este modo los atacantes evitaban ser detectado y se mezclaban con tráfico legitimo nacional.
La huella de la infraestructura de red de la campaña de espionaje de SolarWinds es significativamente mayor de lo que se identificó previamente en los informes del gobierno y la industria privada de EE. UU.” Informo el equipo de RiskIQ
Los investigadores descubrieron que la infraestructura utilizada se registró con diferentes nombres de dominios y en diferentes momentos durante varios años para evitar establecer un patrón rastreable. La primera etapa de ataque señalo RiskIQ que correspondía a infraestructura alojada en su totalidad en los EE. UU. Una medida que probablemente tenía la intención de evitar levantar sospechas. La infraestructura de la segunda etapa se alojó principalmente en los EE. UU. Y en la tercera etapa su infraestructura casi en su totalidad en países extranjeros.
RiskIQ pudo identificar gracias a la telemetría varios servidores comando control, emergiendo dos patrones interesantes, que fueron descritos en su análisis
- La mayoría de los certificados SSL utilizados por el grupo fueron emitidos por Sectigo (anteriormente Comodo CA). Además, todos pertenecían a una clase en particular llamada “PositiveSSL “, que cuesta alrededor de $ 11 al año por dominio.
- La fecha de emisión de los certificados, también conocida como “No antes” en la terminología x509, era a menudo más de una semana antes de la implementación del certificado en sí. O en varios casos, más de 40 días después.
Teniendo los antecedentes de su telemetría el equipo Atlas de RiskIQ correlaciono varios datos de investigaciones previas y pudo rastrear una cantidad significativa de servidores maliciosos adicionales.
Se estima que 16.000 organizaciones recibieron la actualización maliciosa de SolarWinds, según el gobierno de EE. UU. Anne Neuberger, asesora adjunta de seguridad nacional para tecnología cibernética y emergente, dijo que nueve agencias federales y 100 empresas del sector privado se vieron afectadas.
Algunos antecedentes adicionales entregados por el equipo RISKIQ en su informe.
El análisis de la primera etapa confirma la utilización del malware SUNBURST donde una de sus funciones era identificaba los productos de Antivirus y desactivarlo (AV) de FireEye, Crowdstrike, Microsoft, ESET, F-Secure y Kaspersky que se encuentra prohíbe en las agencias federales.
La segunda etapa de seguimiento de la campaña fue iniciada por dos goteros llamados TEARDROP (FireEye) y RAINDROP (Symantec). Donde utilizaban la herramienta comercial Cobal Strike modificada para permitir el movimiento lateral, recopilación de credenciales y el mapeo de redes.
La tercera etapa introdujo malware GOLDMAX (Microsoft) / SUNSHUTTLE (FireEye) diseñado para la persistencia. Su implementación de comando control le permitió integrarse con el tráfico de red normal.
