Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Rusia estaría detrás del ataque (Orion de SolarWinds) de espionaje masivo a agencias gubernamentales de Estados Unidos


El ciberataque a SolarWinds ha resultado ser uno de los más importantes y sofisticados de los últimos años. Según varias fuentes, los atacantes (nombre neutral UNC2452, pero varias fuentes de la comunidad sí atribuyeron la autoría a APT29 (Cozy Bear) estaría respaldado por Rusia, que habría estado desde marzo accediendo y vigilando el tráfico interno de correos electrónicos de, entre otras agencias estadounidenses, los departamentos de Justicia y Tesoro del país. Según Reuters, además, varias fuentes cercanas a la investigación temen que esto pueda ser tan solo la punta del iceberg. De hecho, el hackeo es tan grave que el pasado sábado se convocó en la Casa Blanca una reunión del Consejo de seguridad nacional al respecto. El malware ha sido bautizado por FireEye como Sunburst en su informe, y por Microsoft como Solorigate. Finalmente se descubre que el ataque a FireEye usando software Orion de SolarWinds se extiende a MUCHAS otras empresas y es más grave de lo que incluso ya parecía. Todavía no se conoce el impacto real ni el número de afectados. No se sabe qué información se ha robado y para qué se puede haber utilizado.  Cisco, Nvidia, Belkin, VMware o Intel también aparecen en la lista.



En su documento técnico, FireEye no confirmó la atribución de APT29 y le dio al grupo un nombre en clave neutral de UNC2452, aunque varias fuentes en la comunidad de ciberseguridad le dijeron a ZDNet que la atribución de APT29, realizada por el gobierno de los EE.UU., es probablemente correcta, según la evidencia actual. 

Los medios de comunicación The Washington Post y Routers afirman que existen muchas agencias gubernamentales afectadas, motivando que se reuniera de urgencia el Consejo de Seguridad Nacional de los Estados Unidos (NSC) en la Casa Blanca.

Un comunicado del Departamento de Comercio confirmando que ha habido una brecha en una de sus agencias, y que han pedido al FBI y a la CISA (Agencia de ciberseguridad y de infraestructura de seguridad) que investiguen lo sucedido.

SolarWinds - Software Orion troyanizado (puerta trasera)

Podrían haberse visto afectadas numerosas agencias gubernamentales de Estados Unidos, Europa, Asia y Medio Oriente. Hasta 18.000 empresas podrían estar "troyanizadas". Muchas más empresas a parte de FireEye podrían estar troyanizadas (puerta trasera llamada SUNBURST ("SolarWinds.Orion.Core.BusinessLayer.dll")) afectadas por el softwware Orion de SolarWinds.

   El informe de FireEye se produce después de que Reuters, Washington Post, y Wall Street Journal informaron sobre las intrusiones del domingo en el Departamento del Tesoro de EE.UU. y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE.UU.

The Washington Post citó fuentes que afirman que muchas otras agencias gubernamentales también se vieron afectadas. Reuters informó que el incidente se consideró tan grave que llevó a una rara reunión del Consejo de Seguridad Nacional de Estados Unidos en la Casa Blanca, un día antes, el sábado. Reuters dice que la explotación de una una vulnerabilidad en Microsoft Office 365 fue la ruta que tomaron los atacantes para irrumpir en la Administración Nacional de Telecomunicaciones e Información, una parte del Departamento de Comercio de Estados Unidos.




Clientes de SolarWinds

Ups pero si ya no tienen clientes! Pero si tenían muchos!!

Ahora:

Antes:



SolarWinds dice que tiene más de 320.000 clientes, incluyendo:

  • More than 425 of the U.S. Fortune 500
  • All ten of the top ten US telecommunications companies
  • All five branches of the U.S. military
  • All five of the top five U.S. accounting firms
  • The Pentagon U.S.
  • The State Department U.S.
  • The National Security Agency (NSA)
  • The Department of Justice U.S.
  • The White House U.S.
  • El sistema Dominion Voting Systems también usa SolarWinds, de acuerdo a su página web.

Según SolarWinds, "solo" 18.000 clientes se vieron afectados por una versión troyanizada pero esta nueva cadena de ataques a través de Solawinds abre un nuevo y completo panorama de otras posibles víctimas.

Ataque de cadena Suministro



Un ataque a la cadena de suministro se produce cuando el software es creado y publicado por proveedores de confianza. Estas aplicaciones y actualizaciones están firmadas, por lo que se presupone una legitimidad del ejecutable, y son instaladas automáticamente en todos los clientes que se requieran actualización.




Miembros del grupo hacker se habrían colado en los sistemas de las agencias sin ser detectados alterando actualizaciones publicadas por la compañía tecnológica SolarWinds, que da servicio a la rama ejecutiva de clientes gubernamentales, así como a diversos servicios militares y de inteligencia. Este truco, al que habitualmente se conoce como «ataque de cadena de suministro», funciona escondiendo código malicioso en actualizaciones de software legítimas facilitados a los objetivos por terceros.

 

Agencias gubernamentales de EE. UU afectadas:


  • Departamento del Tesoro de Estados Unidos
  • La Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE. UU.
  • Institutos Nacionales de Salud del Departamento de Salud (NIH)
  • La Agencia de Ciberseguridad e Infraestructura (CISA)
  • El Departamento de Seguridad Nacional (DHS)
  • Departamento de Estado de EE. UU.
  • La Administración Nacional de Seguridad Nuclear (NNSA
  • El Departamento de Energía de EE. UU. (DOE)
  • Tres estados de EE. UU.
  • Ciudad de Austin

 Lista de infectados con backdoor de SolarWinds / Sunburst


Varios investigadores de seguridad y equipos de investigación han publicado durante el fin de semana listas que van desde 100 a 280 organizaciones que instalaron una versión troyanizada de la plataforma SolarWinds Orion y tenían sus sistemas internos infectados con el malware Sunburst. La lista incluye los nombres de empresas de tecnología, gobiernos locales, universidades, hospitales, bancos y proveedores de telecomunicaciones.

Los nombres más importantes en esta lista incluyen a Cisco, Intel, Cox Communications, Deloitte, Nvidia, Optimizely y Digital Sense. También se cree que MediaTek, una de las empresas de semiconductores más grandes del mundo, se ha visto afectada; aunque los investigadores de seguridad aún no están al 100% en su inclusión en sus listas.


 Descifrando los subdominios de Sunburst 

Según una investigación publicada la semana pasada, Sunburst enviaría los datos que recopiló de una red infectada a una URL de servidor C&C que era única por víctima.

Esta URL única era un subdominio para avsvmcloud[.]com y contenía cuatro partes, donde la primera era una cadena de aspecto aleatorio. Pero los investigadores de seguridad dijeron que esta cadena no era realmente única, sino que contenía el nombre codificado del dominio de la red local de la víctima.



Aquí se muestra una tabla compilada por la empresa de seguridad Truesec con los nombres de dominio internos decodificados de algunas de las víctimas de SolarWinds. En la lista hay 281 dominios, de los cuales 136 ya han sido identificados.
 

Gráfico funcionamiento Solorigate


 

Fuentes:

https://blog.segu-info.com.ar/2020/12/microsoft-y-fireeye-confirman-ataque.html

https://www.muycomputerpro.com/2020/12/14/hacker-rusia-emails-departamentos-justicia-tesoro

https://unaaldia.hispasec.com/2020/12/solarwinds-sufre-un-ataque-de-cadena-de-suministro.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.