SolarWinds sufre un ataque de cadena de suministro

Un grupo de hackers ha comprometido al proveedor de software SolarWinds consiguiendo implementar una actualización con malware Sunburst  para su conocida aplicación de monitorización de redes Orion. De esta manera podrían llegar a infectar las redes de las compañías o instituciones donde esté desplegado.

Este ataque se encuentra vinculado al que ya sufrió la semana pasada FireEye, y así han dejado constancia mediante el post publicado el pasado domingo. Pero no solo se trataría de FireEye, también se habrían visto afectadas numerosas agencias gubernamentales de Estados Unidos, Europa, Asia y Medio Oriente, aunque el verdadero impacto de este ataque está por ver en los próximos días.

El malware ha sido bautizado por FireEye como Sunburst en su informe, y por Microsoft como Solorigate y ya se encuentran disponibles reglas para su detección, que comienzan a aplicar los diferentes antivirus. Precisamente, FireEye ha publicado un conjunto de IOCs en su cuenta de Github.

Operativa del malware. Fuente: Microsoft
Resultados devueltos por VirusTotal durante la redacción del artículo (engines Solorigate, Sunburst).

Un ataque a la cadena de suministro se produce cuando el software es creado y publicado por proveedores de confianza. Estas aplicaciones y actualizaciones están firmadas, por lo que se presupone una legitimidad del ejecutable, y son instaladas automáticamente en todos los clientes que se requieran actualización.

Los medios de comunicación The Washington Post y Routers afirman que existen muchas agencias gubernamentales afectadas, motivando que se reuniera de urgencia el Consejo de Seguridad Nacional de los Estados Unidos (NSC) en la Casa Blanca.

FireEye no confirmó al grupo que estaría detrás del ataque y le dio el nombre neutral UNC2452, pero varias fuentes de la comunidad sí atribuyeron la autoría a APT29.

Desde SolarWinds han publicado una nota de prensa admitiendo la violación de su plataforma de software e indicando que las versiones de actualización de Orion 2019.4 a 2020.2.1, lanzadas entre marzo de 2020 y junio de 2020, se han contaminado con malware.

Además, se estima que la nueva actualización que corrija este problema esté disponible el martes 15 de diciembre, conforme notificado de SolarWinds.

Más información:

Microsoft, FireEye confirm SolarWinds supply chain attack. Catalin Cimpanu. Zdnet.com. https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/

Global Intrusion Campaign Leverages Software Supply Chain Compromise. Kevin Mandia. FireEye. https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html

Behavior:Win32/Solorigate.C!dha. Microsoft. https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Behavior:Win32/Solorigate.C!dha&ThreatID=2147771132

Compartir