SolarWinds confirma que el ataque a la cadena de suministro comenzó en 2019
SolarWinds y CrowdStrike publicaron actualizaciones el lunes que agregaron nueva información para la línea de tiempo del ataque a la cadena de suministro y cómo los actores de amenazas obtuvieron acceso por primera vez.
Después de mucha especulación sobre el tiempo de permanencia involucrado en el ataque a la cadena de suministro de SolarWinds, el proveedor de administración de TI confirmó que la violación comenzó desde septiembre de 2019.
El presidente y director ejecutivo de SolarWinds, Sudhakar Ramakrishna, publicó una actualización el lunes 11 sobre el ataque a la cadena de suministro en el que los actores de amenazas de estado-nación comprometieron numerosas empresas de alto perfil y agencias gubernamentales a través de malware insertado en actualizaciones de software. En la publicación, Ramakrishna proporcionó una cronología detallada que fecha la violación inicial contra SolarWinds.
"Nuestro cronograma actual para este incidente comienza en septiembre de 2019, que es la primera actividad sospechosa en nuestros sistemas internos identificada por nuestros equipos forenses en el curso de sus investigaciones actuales", escribió en la actualización.
Antes de esta publicación, los investigadores de seguridad creían, según la evidencia técnica, que los atacantes podrían haber violado SolarWinds por primera vez a fines de 2019. Después de que los actores de amenazas violaron inicialmente SolarWinds el 4 de septiembre, realizaron inyecciones de código de prueba hasta noviembre. El malware Sunburst se implementó en febrero de 2020 y, en junio, los actores de amenazas eliminaron el malware Sunburst del entorno de SolarWinds.
"Los perpetradores pasaron desapercibidos y eliminaron el código malicioso SUNBURST de nuestro entorno en junio de 2020. Durante ese tiempo, hasta el día de hoy, SolarWinds investigó varias vulnerabilidades en su plataforma Orion. Esto remedió o inició el proceso de reparación de vulnerabilidades, un proceso regular que continúa. Sin embargo, hasta diciembre de 2020, la compañía no identificó ninguna vulnerabilidad como lo que ahora conocemos como SUNBURST", se lee en la publicación.
Ramakrishna también dijo que el equipo de investigación, que incluye a CrowdStrike y KPMG, descubrió "una fuente de inyección de código malicioso muy sofisticada y novedosa" que los actores de amenazas de estado-nación utilizaron para colocar la puerta trasera Sunburst en la plataforma de software Orion. Ramakrishna destacó una publicación complementaria de CrowdStrike sobre el descubrimiento.
Según la línea de tiempo actualizada, SolarWinds se enteró del ataque el 12 de diciembre antes de hacerlo público dos días después.
En una actualización anterior de SolarWinds, la compañía mencionó que potencialmente podría haber otras víctimas, y Ramakrishna reiteró esto en la publicación del lunes, diciendo: "Nuestra preocupación es que en este momento pueden existir procesos similares en entornos de desarrollo de software en otras compañías en todo el mundo.”
Nuestra publicación hermana SearchSecurity se puso en contacto con SolarWinds para obtener una aclaración sobre este punto, pero SolarWinds no dio respuesta hasta el momento de publicar este artículo.
CrowdStrike proporciona contexto adicional
CrowdStrike publicó en su blog, también el lunes 11, detalles técnicos sobre cómo los atacantes obtuvieron acceso al entorno de compilación de Orion e insertaron la puerta trasera Sunburst en las actualizaciones de software para la plataforma. Según la publicación, se descubrió una pieza diferente de malware, que CrowdStrike llama "Sunspot", en un servidor de compilación de software SolarWinds. El malware Sunspot secuestró el proceso de compilación del software Orion y reemplazó los archivos de origen legítimos con la puerta trasera.
Los investigadores de CrowdStrike creen que la herramienta Sunspot se desarrolló para abusar silenciosamente del proceso de compilación sin alterar al equipo de desarrollo de SolarWinds. El proveedor dijo que Sunburst es el trabajo de los atacantes detrás del ataque a la cadena de suministro de SolarWinds, que CrowdStrike identifica como "StellaParticle", pero no atribuyó la actividad de amenaza a ningún grupo de amenaza persistente avanzado (APT) conocido o estado-nación específico.
"El diseño de SUNSPOT sugiere que los desarrolladores de StellarParticle invirtieron mucho esfuerzo para garantizar que el código se insertara correctamente y permaneciera sin ser detectado, y priorizó la seguridad operativa para evitar revelar su presencia en el entorno de construcción a los desarrolladores de SolarWinds", dijo la publicación.
CrowdStrike liberó indicadores de compromiso para Sunspot, así como herramientas, técnicas y procedimientos para los actores de amenazas y la información del marco Mitre ATT&CK para defenderse del malware.
Alexander Culafi es escritor, periodista y locutor de podcasts con sede en Boston. El editor de noticias de seguridad, Rob Wright, contribuyó a este informe.