Pensé que estas navidades serían tranquilas, con un año 2020 con tanta incertidumbre y cambios en el mundo, no podíamos dejar las navidades sin algo de adrenalina. Desde la semana pasada aproximadamente el 8 de diciembre FireEye, una empresa líder de ciberseguridad, fue atacada, y su respuesta ante el incidente ha sido ejemplo de planes de atención, respuesta y colaboración en el mundo, ver haciendo clic aquí la publicación de FireEye.
Esto nos demuestra una vez más que no tenemos una capacidad de enfrentar todos los ataques, que debemos mejorar nuestras capacidades ante la gestión de lo desconocido y de la incertidumbre, por muy expertos en CiberSeguridad que seamos.
En este blog vamos a compartir un poco las ideas con la poca información que se ha compartido hasta el momento, tratando de entender qué funcionó y qué salió mal.
Vector de Ataque
El vector de ataque utilizado es la gran novedad, aunque es una preocupación de la industria de la ciberseguridad desde hace muchos años, la relación con terceros y gestión de proveedores siempre ha estado incluida en normas y buenas prácticas.
Lo que realmente pasó es que las empresas afectadas en esta operación instalaron un software que tenía código malicioso, con lo cual los atacantes pudieron tomar control remoto de los equipos donde se instaló el software.
Hasta este momento la operación no se ve tan sofisticada, pero comienza lo interesante: el software utilizado para llegar a estas cuentas es un software de gestión de red (NMS), el fabricante Solarwinds, quien tiene un despliegue importante llegando a tener más de 300.000 clientes. El software se firmó y se publicó en su fuente de repositorios para descarga de software, por lo que fácilmente podemos intuir que los atacantes lograron introducir el código malicioso desde las herramientas de control de versiones o los propios desarrolladores.
La respuesta esperada de Solarwinds debería estar al nivel de la de FireEye, pero nos dejaron con un sabor amargo de que las investigaciones no han sido tan profundas hasta el momento. No voy a analizar en profundidad la respuesta, pero la comparto con ustedes para que la tengan como referencia.
El orientar los esfuerzos en acceder a una organización a través del software NMS tiene un porqué. Este tipo de soluciones tienen acceso a la mayor cantidad de servicios en la red, debido a que hacen el monitoreo de la disponibilidad de los servicios mediante monitoreo pasivo y activo. Aunque en arquitecturas de red seguras, se separan en zonas de seguridad particulares, su acceso y comunicación bidireccional lo convierten en el mejor lugar para realizar el movimiento lateral en un ataque.
Voy a resumir hasta el momento el ataque y a concluir para cada actor cosas que funcionaron y cosas que fallaron.
Proveedor |
Atacado |
|
Controles |
Detección: Las Capacidades de detección lograron identificar la operación. |
|
Vulnerabilidades |
Protección de Código Fuente: No existen controles de tamperproof de código los cambios fueron aceptados sin darse cuenta de que existían piezas de software no autorizadas. Proceso Seguro de Publicación de Software: No se realizaron validaciones adicionales del código previo a publicar el software autorizado. |
Instalación de Software Autorizado: Dentro del proceso de instalación de software autorizado, no se incluyen evaluaciones del software para entender su comportamiento. Arquitectura de Red: La comunicación al exterior de redes de monitoreo o servidores no debe ser aceptado por definición. |
El Atacante, quien está detrás
Ya se ha relacionado la operación con el grupo Cozy Bear. A continuación, una descripción de este actor.
Se habla de una operación de espionaje entre países. El grupo APT29 provee esta operación para que el gobierno de la Federación Rusa, cuyo alcance y los motivadores están por conocerse, pero hasta el momento no solo FireEye ha sido afectada por la operación, ya Microsoft informó su afectación y varias entidades de gobierno. ¡Esto solo es el comienzo!
Desde nuestro CSVD® (Centro de Seguridad y Vigilancia Digital) hemos compartido Inteligencia de Seguridad más en detalle para enfrentar esta amenaza. Vea aquí la alerta.