El día 8 de diciembre la compañía de ciberseguridad FireEye comunica haber sufrido un incidente en el que se han visto expuestas sus herramientas de RedTeam. Sólo unos días más tarde, tras investigarlo, detectan que el origen de este incidente se encuentra en Orion, el software (propiedad de la compañía SolarWinds) que utilizan para monitorizar sus sistemas. El software que utilizan para monitorizar sus sistemas más de 30.000 compañías entre las que se encuentran desde grandes tecnológicas hasta agencias de seguridad estadounidenses. A lo largo de la sesión se analizaran las causas, los detalles técnicos y las consecuencias de uno de los incidentes de ciberseguridad con mayor impacto de la historia: el Solorigate.
4. Solorigate | javier@junquera.io (UNIR 2021) | 4
Introducción
SolarWinds es una empresa dedicada a la creación de software para la
administración de activos TIC:
● Orion es un producto de inventariado y gestión de sistemas en red
● En diciembre de 2020 se detecta un incidente de seguridad en Orion:
○ Conocido como SUNBURST (FireEye) o Solorigate (MS)
5. Solorigate | javier@junquera.io (UNIR 2021) | 5
Solorigate
ENE 2021
Aparece una nueva amenaza
conocida como Supernova
13 DIC 2020
FireEye atribuye a backdoor en
el software Orion:
SUNBURST
8 DIC 2020
FireEye detecta acceso a sus
herramientas de Red Team
6. Solorigate | javier@junquera.io (UNIR 2021) | 6
¿Qué es la supply chain?
Sunspot
Penetración en
SolarWinds, en
septiembre de 2019
SEP 19 - FEB 20
Atacantes analizan
funcionamiento de
Orion: forma de
trabajar, protocolos de
comunicación, formato
del código, etc.
SUNBURST
Creación e instalación
de puerta trasera en
Orion
(SolarWinds.Orion.Core
.BusinessLayer.dll)
TEARDROP
Actuación del código
malicioso en las
organizaciones.
MAR 20 → MAR 20 (+1)
Actualización
automática de
software de clientes.
Infección con software
firmado.
7. Solorigate | javier@junquera.io (UNIR 2021) | 7
SUNBURST
Una vez se activa SolarWinds.Orion.Core.BusinessLayer.dll (firmado con
certificados legítimos de SolarWinds) se dispara el proceso de análisis:
● Permanece dormido (hasta 2 semanas)
● Verifica que está en una organización (AD)
○ Y que esta no es SolarWinds
● Duerme X tiempo
● Comienza a comunicarse con su C2
○ Lo “busca” generando subdominios pseudo-aleatorios
○ Imita el protocolo de Orion
● Si es un entorno convincente, inicia la fase 2
8. Solorigate | javier@junquera.io (UNIR 2021) | 8
TEARDROP
Una vez desplegado SUNBURST, si el
equipo infectado forma parte de los
objetivos del malware, entra en juego
TEARDROP:
● TEARDROP es un dropper que
inyecta en memoria una beacon
de Cobalt Strike, para permitir
el control remoto de la máquina
● Symantec detecta una variante
conocida como Raindrop
Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de
https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html
9. Solorigate | javier@junquera.io (UNIR 2021) | 9
Impacto
A finales de diciembre de 2020
SolarWinds retira la página de
clientes, pero se puede
recuperar a través de cachés
como Internet Wayback Machine.
SolarWinds’ Customers. Recuperado el 14 de diciembre de 2020.
https://www.solarwinds.com/company/customers
11. Solorigate | javier@junquera.io (UNIR 2021) | 11
Impacto
Se ha llegado a comparar, en EE.UU., con un Pearl Harbour o un 11S digital1
.
Algunos de sus principales clientes:
● Organismos públicos
Oficina del Presidente de los EE.UU., Departamento de Defensa de EE.UU.,
NASA, NSA
● Organizaciones privadas
Microsoft, Visa, Mastercard, AT&T, Yahoo!; etc.
1
(Recorded Future, 2021)
12. Solorigate | javier@junquera.io (UNIR 2021) | 12
Impacto
Todavía quedan incógnitas
acerca del impacto:
● Clientes
internacionales
Enrique de la Hoz en Twitter. (2020, diciembre 15). Twitter.
https://twitter.com/edelahozuah/status/1338880212914855939
13. Solorigate | javier@junquera.io (UNIR 2021) | 13
Impacto
Todavía quedan incógnitas
acerca del impacto:
● Daños colaterales
Organización X
Cliente de SolarWinds
Organización Y
Cliente de organización X
(e ignora que existe SolarWinds)
SolarWinds
Supply chain comprometida
14. Solorigate | javier@junquera.io (UNIR 2021) | 14
Reacciones
FireEye
● Trabajo activo en publicación de IOCs, tanto de SUNBURST, como
relacionados con sus herramientas de Red Team (robadas)
SolarWinds
● Revoca certificados antiguos de software, e inicia una nueva estrategia de
seguridad
NIST
● Desarrollo de guía de buenas prácticas en gestión de supply chain
15. Solorigate | javier@junquera.io (UNIR 2021) | 15
Atribuciones
vx-underground. (2020, diciembre 20). https://mobile.twitter.com/vxunderground/status/1340477486078054401
Se pasa a conocer como
DarkHalo al grupo criminal
detrás de SUNBURST. EE.UU.
atribuye SUNBURST a Rusia:
● Puede que la puerta
trasera se introdujese en
un desarrollo en Europa
del este
● DarkHalo podría estar
relacionado con Turla
(Rusia) o APT41 (China)
16. Solorigate | javier@junquera.io (UNIR 2021) | 16
Pero esto no termina aquí…
Durante el mes de enero de 2021 se detecta una segunda amenaza en el software de
SolarWinds:
● COSMICGALE
Desde la red privada del cliente, aprovechando una vulnerabilidad de Orion ejecuta
scripts de infección escritos en PowerShell
● Supernova
Webshell introducida en app_web_logoimagehandler.ashx.b6031896.dll (personalización
de logo de la empresa en la plataforma Orion), a través de COSMICGALE
17. Solorigate | javier@junquera.io (UNIR 2021) | 17
Ya no estamos hablando de una
backdoor como tal
Parte de una vulnerabilidad, y el
código desplegado no está firmad
Atribuído a un segundo actor,
diferente de DarkHalo.
Especulaciones alrededor de Corea
del Norte
Supernova
18. Solorigate | javier@junquera.io (UNIR 2021) | 18
Conclusiones
● Instalar IOC generados por FireEye en sistemas de detección
○ Herramientas de Red Team
(https://github.com/fireeye/red_team_tool_countermeasures)
○ Análisis de SUNBURST (https://github.com/fireeye/sunburst_countermeasures)
● Desarrollo de capacidades analíticas y de respuesta
● Toma de conciencia acerca del rol que juegan proveedores y terceros
en el riesgo de la organización
● Aunque no es el mejor ejemplo… ¡actualizar los sistemas!
19. Solorigate | javier@junquera.io (UNIR 2021) | 19
Referencias
Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers. (2020, diciembre 18).
Microsoft Security.
https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-d
efender-helps-protect/
Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de
https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html
Boyens, J., Paulsen, C., Bartol, N., Winkler, K., & Gimbi, J. (2021). Key Practices in Cyber Supply Chain Risk Management: Observations from Industry (NIST
Internal or Interagency Report (NISTIR) 8276). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.IR.8276
Davis, M. J., Charles. (s. f.). These big firms and US agencies all use software from the company breached in a massive hack being blamed on Russia. Business
Insider. Recuperado 16 de febrero de 2021, de https://www.businessinsider.com/list-of-companies-agencies-at-risk-after-solarwinds-hack-2020-12
Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop. (2021, enero 20). Microsoft Security.
https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/
Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor. (s. f.). FireEye. Recuperado de
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
20. Solorigate | javier@junquera.io (UNIR 2021) | 20
Referencias
SolarWinds | Understanding & Detecting the SUPERNOVA Webshell Trojan. (2020, diciembre 23). SentinelLabs.
https://labs.sentinelone.com/solarwinds-understanding-detecting-the-supernova-webshell-trojan/
SolarWinds Attribution: Are We Getting Ahead of Ourselves? (2020, diciembre 30). Recorded Future. https://www.recfut.com/solarwinds-attribution/
SolarWinds Orion Breach—What It Means for the Industry Writ Large. (2021, enero 11). Recorded Future. https://www.recfut.com/podcast-episode-191/
Tarasco, A., & Merino, B. (2021, enero 3). Solorigate: La mayor trama de espionaje de la historia. La Voz de Galicia.
https://www.lavozdegalicia.es/noticia/mercados/2021/01/03/solorigate-mayor-trama-espionaje-historia/0003_202101SM3P7991.htm
SUNBURST Additional Technical Details. (s. f.). FireEye. Recuperado de
https://www.fireeye.com/blog/threat-research/2020/12/sunburst-additional-technical-details.html
SUNBURST Malware and SolarWinds Supply Chain Compromise. (2020, diciembre 16). McAfee Blogs.
/blogs/other-blogs/mcafee-labs/sunburst-malware-and-solarwinds-supply-chain-compromise/
Team, C. I. (2021, enero 11). SUNSPOT Malware: A Technical Analysis | CrowdStrike. https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/