Seguridad

Agencias gubernamentales de EE. UU. comprometidas por estados-nación extranjeros

Según la firma de seguridad FireEye, las vulnerabilidades se abordaron explotando una falla en el software de monitoreo de red SolarWinds.

istock 1065824694
Imagen: Getty Images/iStockphoto

Los adversarios extranjeros han aprovechado las fallas en el software utilizado por muchos de ellos para lanzar una serie de ataques cibernéticos contra las principales agencias gubernamentales. La campaña maliciosa, denominada UNC2452 por la empresa de seguridad FireEye, afectó las redes y los sistemas de correo electrónico de las instituciones objetivo y explotó una vulnerabilidad en la forma en que se proporcionan las actualizaciones a la plataforma de monitoreo de red Orion creada por SolarWinds.

Mirar: Zero Trust Security: una hoja de trucos (PDF gratuito) (República tecnológica)

reportó que Los eventos podrían comenzar tan pronto como la primavera de 2023 Y posiblemente aún activo, FireEye dijo que los atacantes obtuvieron acceso a las víctimas a través de una actualización troyana del software Orion. Específicamente, la estrategia funciona ocultando código malicioso en actualizaciones de software legítimas, lo que se conoce como compromiso de la cadena de suministro.

Debido a la brecha, los piratas informáticos han podido Supervisar el tráfico de correo electrónico interno Fuentes dijeron a Reuters en los Departamentos del Tesoro y Comercio de Estados Unidos. Sin embargo, FireEye dijo que las víctimas también incluían entidades gubernamentales, de consultoría, tecnología, telecomunicaciones y extractivas en América del Norte, Europa, Asia y Medio Oriente, con potencialmente más víctimas en otras regiones y sectores.

Los clientes de SolarWind incluyen compañías Fortune 500, los 10 principales proveedores de telecomunicaciones de EE. UU., las cinco ramas del ejército de EE. UU., el Departamento de Estado, la Agencia de Seguridad Nacional y la Oficina del Presidente de los Estados Unidos. Por lo tanto, es una preocupación que otras organizaciones clave y agencias gubernamentales puedan estar en riesgo de compromiso.

En respuesta, el Consejo de Seguridad Nacional celebró una reunión de emergencia el sábado. Día 2, Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) Emitir una orden de emergencia Todas las agencias civiles federales deben inspeccionar sus redes en busca de signos de compromiso y desconectar o apagar inmediatamente los productos SolarWinds Orion.

LEER  Usuarios de Android: Google recopila sus datos de ubicación incluso cuando los servicios de ubicación están desactivados

FireEye, SolarWinds, Microsoft y otras fuentes han señalado a los estados-nación extranjeros como la causa raíz del ataque de larga duración.

«SolarWinds acaba de darse cuenta de que nuestros sistemas han experimentado un ataque manual altamente sofisticado en la cadena de suministro en las versiones del software SolarWinds Orion Platform desde la versión 2023.4 HF 5 hasta la 2023.2.1 lanzadas entre marzo de 2023 y junio de 2023», indicó SolarWindows en el boletín de seguridad. «Nos dijeron que este ataque probablemente fue llevado a cabo por un estado-nación externo y tenía la intención de ser un ataque limitado, altamente dirigido y ejecutado manualmente en lugar de un ataque amplio de todo el sistema».

Si bien FireEye aún tiene que confirmar o identificar la fuente del compromiso, muchos han señalado con el dedo directamente a Rusia. Las fuentes le dijeron al Washington Post que el pirata informático ruso, apodado APT29 o Cozy Bear, es parte de la agencia de inteligencia extranjera SVR de Rusia. El mismo grupo ha sido señalado como la fuente detrás de los recientes ataques contra el propio FireEye.

«APT29, que el grupo atribuyó a la violación de FireEye de la semana pasada, una empresa conocida por su debida diligencia, ahora se sabe que comprometió a los departamentos del Tesoro y Comercio», dijo Rosa Smothers, exanalista de amenazas cibernéticas de la CIA y actual vicepresidenta senior. de KnowBe4, dijo a Tecnopedia. «APT29 usó el spear phishing con más éxito para obtener acceso a la red; desde allí escalaron los permisos para expandirse a la red».

En una publicación compartida en Facebook, el gobierno ruso negó cualquier responsabilidad por el ataque y dijo que las acusaciones de los medios estadounidenses sobre los intentos rusos de atacar a las agencias gubernamentales estadounidenses no tenían fundamento.

En su publicación de blog, FireEye dijo que los ataques lanzados como parte de la campaña tenían lo siguiente en común:

  • Actualizar con SolarWinds maliciosoInsertar código malicioso en actualizaciones de software legítimas para el software Orion, lo que permite a los atacantes acceder de forma remota al entorno de la víctima.
  • Ligera huella de malwareUse malware limitado para hacer el trabajo mientras evita la detección.
  • Prioridad de sigiloHacer todo lo posible para observar e integrarse en la actividad normal de la red.
  • OPSEC altoExplorando pacientemente, cubriendo constantemente sus huellas y usando herramientas que son difíciles de atribuir.

«Es natural pensar que justo después de la violación de FireEye, los adversarios usaron sus herramientas para usar y llevar a cabo esta violación de Comercio”, dijo Brandon Hoffman, director de seguridad de la información del proveedor de seguridad NetEnrich. «Sin embargo, examinar esto detenidamente parece conducirnos a la conclusión de que esto ha estado ocurriendo durante mucho más tiempo. Los tipos de ataques descritos hasta ahora involucran varias técnicas bajas y lentas. El término Amenaza Persistente Avanzada (APT) se usa para describir dicho ataque».

SolarWind recomienda que los clientes actualicen su plataforma Orion a la versión 2023.2.1 HF 1 lo antes posible.Esta última versión está disponible en Portal de clientes de SolarWindsLanzamiento de parche adicional llamado 2023.2.1 HF 2 Se espera que se lance el martes 15 de diciembre. La compañía insta a los clientes a aplicar el parche, ya que reemplaza los componentes dañados y agrega otras mejoras de seguridad.

en un entrada en el blogMicrosoft también ofrece algunos consejos sobre cómo las organizaciones pueden protegerse de este tipo de ataques.

  1. Ejecutar un producto antivirus o EDR actualizado Detecta bibliotecas de SolarWinds dañadas y posibles comportamientos anormales de estos archivos binarios. Considere deshabilitar SolarWinds por completo en su entorno hasta que esté seguro de que tiene una compilación sólida sin código inyectado.Para más detalles, por favor consulte Aviso de seguridad de SolarWinds.
  2. Bloquear puntos finales C2 conocidos Los IOC que utilizan su infraestructura de red se enumeran a continuación.
  3. Siga las mejores prácticas de los proveedores de tecnología de federación de identidades Proteja su clave de firma de token SAML. Considere la seguridad del hardware para los certificados de firma de tokens SAML, si su proveedor de federación lo admite. Consulte a su proveedor de tecnología de federación de identidad para obtener más detalles. Para los servicios de federación de Active Directory, consulte las recomendaciones de Microsoft aquí: Prácticas recomendadas para proteger ADFS
  4. Asegúrese de que las cuentas de usuario con privilegios administrativos sigan las mejores prácticasincluido el uso Estación de trabajo de acceso privilegiado, JIT/JEA y autenticación fuerte. Reduzca la cantidad de usuarios que son miembros de funciones de directorio con privilegios elevados, como administradores globales, administradores de aplicaciones y administradores de aplicaciones en la nube.
  5. Asegúrese de que las cuentas de servicio y las entidades de servicio con privilegios administrativos usen secretos de alta entropía, como los certificados, se almacenan de forma segura. Como parte del programa de monitoreo de seguridad, supervise los cambios en los secretos utilizados para las cuentas de servicio y las entidades principales de servicio. Supervise las cuentas de servicio para detectar un uso inusual. Supervise su inicio de sesiónMicrosoft Azure AD indicará una excepción de sesión, al igual que Microsoft Cloud App Security (si está en uso).
  6. Reduzca el área de superficie eliminando o deshabilitando aplicaciones no utilizadas o innecesarias y gerente de servicio. Reduzca los permisos en aplicaciones activas y principales de servicio, especialmente los permisos de Aplicación (AppOnly).
  7. Mirar Proteja su infraestructura de identidad de Azure AD para más consejos.

«En una escala más amplia, esta brecha una vez más destaca la necesidad de centrarse en los procesos de seguridad que han estado vigentes durante décadas”, dijo Hoffman. «Reparar estos sistemas es tan importante, si no más, que jugar con la joya de la corona. «Al igual que muchas o la mayoría de las principales vulnerabilidades en la memoria reciente, estos ataques casi siempre explotan fallas o fallas en el proveedor que conducen al objetivo principal».

LEER  Cómo los ataques de phishing con clasificación X intentan extorsionar a las víctimas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba