Campaña de espionaje masivo a través del producto Orión de SolarWinds

LISA Challenge: Cyber Mission #1

Reto: Los participantes de este LISA Challenge LISA Challenge presentaron un informe en el que analizaron un ciberataque o campaña de desinformación con gran impacto en la Seguridad Nacional de un país.

• Los ganadores se anunciarán durante la Masterclass OSINT aplicado a la investigación de ciberdelincuentes: herramientas, técnicas y casos reales impartida por Eduardo Sánchez Toril, CEO de AllPentesting y referente en hacking ético. Durante la sesión, Eduardo compartirá experiencias reales y conocimientos clave para mejorar tu labor investigadora en ciberseguridad.

Título: Campaña de espionaje masivo a través del producto Orión de SolarWinds

Autor: Fernando Apestegui. Ingeniero en Informática, Experto en Análisis de Inteligencia y Experto OSINT por LISA Institute. Trabaja como arquitecto/desarrollador de C++ sobre Linux en entornos MedTech. Ha trabajado durante más de 10 años en el área de Análisis de la Información e Investigación del Fraude de la AEAT. Es desarrollador de FreeBSD y miembro del FreeBSD Ports Security Team.

Resumen

En 2020 la empresa SolarWind sufrió una infiltración que provocó la implantación de una puerta trasera en su software Orion. Este software fue posteriormente distribuido a más de 18.000 clientes, entre los que se encontraban Gobiernos, Agencias Federales de Estados Unidos y diversas empresas tecnológicas. Los indicios apuntan a un ataque respaldado por un agente estatal, probablemente Rusia. El ataque tendría como objetivo el espionaje a largo plazo y no el chantaje o el sabotaje inmediato.

Contextualización

El ataque se enmarca dentro de un contexto de creciente tensión internacional contra Rusia. La Administración Biden había impuesto sanciones a Rusia debido al uso de armas químicas para el envenenamiento de actores opositores al régimen de Vladimir Putin, incluyendo el de Alexei Navalny.

Además, Estados Unidos acusaba a Rusia de inmiscuirse en su campaña electoral realizando acciones de desinformación para influir en el resultado electoral.

Actores involucrados

Ejecutor:

• APT29 (Cozy Bear) ha sido identificado como el actor ejecutor del ataque. Este grupo está vinculado al SVR (Servicio de Inteligencia Exterior) ruso.

Víctimas principales:

• El primer objetivo del ataque fue la empresa SolarWinds que proporciona software para gestionar diversos aspectos de la infraestructura de IT de las empresas. En concreto se introdujo una puerta trasera en su producto Orion.
• Diversas Agencias Federales de Estados Unidos fueron espiadas mediante el uso de la puerta trasera implantada: Departamento de Energía, Departamento del Tesoro.
• Empresas privadas tecnológicas como Microsoft, Cisco o FireEye fueron también espiadas con dicho software.
• Otros Gobiernos y entidades también fueron objeto de espionaje mediante la misma puerta trasera.

Beneficiarios:

• Estado Ruso. El grupo APT29 está estrechamente ligado al SVR ruso, quien es el principal beneficiario de la obtención de la información crítica mediante el espionaje. APT29 y otros grupos similares son conocidos por no monetizar sus ataques.

Metodología del ataque

El ataque a SolarWinds y toda la campaña posterior son bastante avanzados. Un resumen simplificado se muestra a continuación:

• APT29 obtuvo cuentas de usuario y credenciales mediante accesos a un servidor Exchange.
• APT29 asignó privilegios de administración a nuevos servicios creados por los atacantes. Además añadió sus propias credenciales a aplicaciones OAuth.
• Después de la infiltración se utilizó el software SUNSPOT para infiltrar SUNBURST, una librería con una puerta trasera. Dicha librería estaba oculta en el sistema de actualizaciones del software Orion.
• Cuando las actualizaciones de Orion llegaban a los clientes, APT29 obtenía acceso a sus sistemas pudiendo realizar acciones de espionaje.
• Se realizó exfiltración de información y robo de propiedad intelectual utilizando canales tunelizados y software malicioso firmado con certificados digitales

Cronología de eventos clave:

Impacto del caso

• Se calculan unas 18.000 víctimas entre agencias estatales, entidades privadas y otros objetivos.
• El presidente Joe Biden ordenó una investigación para saber por qué los organismos estatales de Estados Unidos no pudieron detectar la amenaza a tiempo.
• El presidente Biden firmó una orden ejecutiva para mejorar la ciberseguridad del país.
• Reforzamiento de la OTAN al especificar que un ciberataque podría suponer la invocación del Artículo 5 de la Alianza Atlántica.

Evidencias obtenidas mediante OSINT/SOCMINT

• Informes oficiales de MITRE y CISA
• Información oficial de OTAN
• Informe del Council of Foreign Relations

Apartado técnico

Se han empleado dorks de Google Search y DuckDuckGo principalmente. Mucha de la información técnica más relevante no se ha hecho pública.

Conclusiones

• Las empresas que distribuyen software a gran cantidad de clientes son un blanco perfecto para realizar ataques a la cadena de suministro.
• Es necesaria una mejora en los estándares de desarrollo y operación segura del software.
• El ciberespacio se ha convertido en un dominio más del tablero geopolítico.
• Las amenazas realizadas por los denominados APT son silenciosas por lo que los efectos pueden ser devastadores.
• Existe un riesgo elevado de repetición, como se vio en el ataque a la librería lzma años después.

Propuestas de actuación y mitigación

• Extender una cultura de la ciberseguridad en las instituciones públicas y privadas.
• Clasificar la cadena de suministro como infraestructura crítica.
• Auditoría intensa de todos los elementos de la cadena de suministro.
• Creación de un centro de respuesta a ataques de tipo ATP que coordine los esfuerzos públicos y privados.
• Utilización de tecnologías de IA para reconocimiento de patrones de ataque.