LISA Challenge: Cyber Mission #1
Reto: Los participantes de este LISA Challenge LISA Challenge presentaron un informe en el que analizaron un ciberataque o campaña de desinformación con gran impacto en la Seguridad Nacional de un país.
- Los ganadores se anunciarán durante la Masterclass OSINT aplicado a la investigación de ciberdelincuentes: herramientas, técnicas y casos reales impartida por Eduardo Sánchez Toril, CEO de AllPentesting y referente en hacking ético. Durante la sesión, Eduardo compartirá experiencias reales y conocimientos clave para mejorar tu labor investigadora en ciberseguridad.
Título: SUNBURST: lecciones estratégicas del ciberataque a SolarWinds y su impacto en la Seguridad Nacional de Estados Unidos
Autor: Daniel Droguett.
Resumen ejecutivo
Entre marzo y junio de 2020, actores vinculados al Servicio de Inteligencia Exterior ruso (SVR, APT 29/“Nobelium”) introdujeron código malicioso en compilaciones legítimas de Orion, la plataforma de monitorización de red de SolarWinds. La actualización comprometida, identificada como SUNBURST se distribuyó a 18 000 clientes, incluidas nueve agencias federales de Estados Unidos y empresas de sectores críticos alrededor del mundo. El backdoor se comunicaba mediante el dominio avsvmcloud[.]com y, tras un período latente, permitía ejecución remota, exfiltración y despliegue de payloads secundarios (TEARDROP/RAINDROP).
La campaña pasó inadvertida hasta diciembre de 2020, cuando FireEye detectó actividad anómala en sus propios sistemas y reveló públicamente el incidente. Las consecuencias incluyeron robo de información sensible, erosión de la confianza en la cadena de suministro de software y costes de remediación millonarios.
En abril de 2021, la Administración Biden atribuyó formalmente el ataque al gobierno ruso e impuso sanciones económicas y diplomáticas, redefiniendo la respuesta estatal ante el ciberespionaje.
El presente informe desgrana actores, técnicas, evidencia OSINT y repercusiones estratégicas, y propone medidas de mitigación centradas en la seguridad de la cadena de suministro, la adopción de modelos Zero Trust y el intercambio de inteligencia público-privado.
Introducción y contextualización
El ataque a SolarWinds se produjo en un entorno geopolítico marcado por tensiones entre Estados Unidos y Rusia, interferencias electorales y creciente dependencia digital durante la pandemia. La inserción de SUNBURST en un proveedor estadounidense crítico convirtió una operación de ciberespionaje en un problema de Seguridad Nacional al comprometer infraestructuras gubernamentales y económicas de alto valor.
Actores involucrados
| Categoría | Descripción |
|---|---|
| Ejecutores | APT 29 / SVR (UNC2452 → Nobelium) — campaña encubierta de inteligencia. |
| Víctimas | • 9 agencias federales (DHS, DOE, DOJ, etc.) • Empresas de defensa, TI, finanzas y consultoría • Gobiernos y ONGs internacionales. |
| Beneficiarios | • Rusia (ventaja estratégica y diplomática) • Terceros que exploten públicamente IOCs divulgados. |
Metodología del ataque
- Técnica principal: comprometieron la pipeline de compilación de Orion e insertaron SolarWinds.Orion.Core.BusinessLayer.dll firmada digitalmente.
- C2: DNS a subdominios de avsvmcloud[.]com; si la máquina era “de interés”, se recibía CNAME dirigido a nuevos servidores y se desplegaban payloads TEARDROP/RAINDROP.
- Cronología clave:
* sep-2019: intrusión inicial en entornos de SolarWinds
* mar-jun 2020: publicación de versiones 2019.4-HF 5 a 2020.2.1 con SUNBURST
* 8-dic-2020: FireEye detecta y reporta la intrusión
* 13-dic-2020: CISA emite alerta de emergencia 21-01
* 15-abr-2021: EE. UU. sanciona formalmente a Rusia.
Impacto
- Nacional: acceso a correos del Tesoro y Justicia, planos de infraestructuras críticas y credenciales federales; costos de respuesta > US $1000 M; revisión del programa EINSTEIN y creación de la estrategia Executive Order 14028 sobre seguridad de la cadena de suministro.
- Internacional: 18.000 entidades potencialmente expuestas, pérdida de confianza en software estadounidense y catalizador para marcos de SBOM adoptados por UE, OTAN y empresas globales.
Evidencias OSINT/SOCMINT
| Tipo | Fuente | Evidencia |
|---|---|---|
| Advisories | CISA AR21-039A | DLL maliciosa y dominio avsvmcloud[.]com. |
| Repositorio | FireEye GitHub | Listado CSV con > 100 CNAMEs SUNBURST. |
| WHOIS | PassiveDNS | Resoluciones históricas de avsvmcloud[.]com (13.59.205.66). |
| Medios | Wired, Reuters | Confirman atribución y fallas defensivas. |
