domingo, 10 de enero de 2021

SolarWinds contrata una nueva empresa de ciberseguridad y análisis presunta autoría de APT29

Tras el importante incidente de seguridad que provocó conmoción en la comunidad mundial de ciberseguridad, SolarWinds contrató a una empresa consultora de ciberseguridad recién formada fundada por Chris Krebs, exdirector de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y Alex Stamos, exjefe de seguridad de Facebook. y Yahoo.



SolarWinds contrata una nueva empresa de ciberseguridad fundada por el exdirector de CISA Chris Krebs y Alex Stamos, exjefe de seguridad de Yahoo y Facebook

Con el nombre genérico de Krebs Stamos Group (KSG), su sitio web actualmente muestra información limitada sobre la empresa y dice que su objetivo es "ayudar a las organizaciones a convertir sus mayores desafíos de ciberseguridad en triunfos".

Krebs Stamos Group: la consultora aparentemente ayudará a los clientes a evaluar su postura de seguridad, les brindará asesoramiento sobre “decisiones críticas y duraderas” y les ayudará a crear equipos, procesos, programas y cultura de ciberseguridad.

SolarWinds confirmó este jueves que ha contratado a la empresa lanzada por Krebs y Stamos.

“Hemos aportado la experiencia de Chris Krebs y Alex Stamos para ayudar en esta revisión y brindar la mejor orientación en su clase en nuestro viaje para convertirnos en una empresa de desarrollo de software seguro líder en la industria”, dijo SolarWinds en un comunicado a los medios.

SecurityWeek se ha comunicado con KSG para obtener información adicional sobre la empresa y su trabajo para SolarWinds, pero la empresa aún no ha respondido.

Krebs fue despedido de CISA en noviembre por el presidente de Estados Unidos, Donald Trump, luego de que refutara las acusaciones de fraude electoral y avalara la integridad de las recientes elecciones presidenciales. Después de dejar Facebook en agosto de 2018, Stamos se convirtió en director del Observatorio de Internet en la Universidad de Stanford.

Mientras tanto, el gobierno de EE. UU. Y las empresas de ciberseguridad continúan investigando la violación de SolarWinds. Según algunos informes de los medios, los investigadores están investigando el papel potencial que desempeñó en el ataque un producto de JetBrains, una empresa de desarrollo de software con sede en la República Checa.

JetBrains dijo que no tenía conocimiento de ninguna investigación, pero no descartó que su software TeamCity fuera explotado de alguna manera por piratas informáticos, ya sea debido a una configuración incorrecta o una vulnerabilidad.

Estados Unidos dijo oficialmente esta semana que Rusia probablemente estaba detrás del ataque a SolarWinds, una acusación que el Kremlin ha negado. También hay alguna evidencia de que un segundo actor de amenazas no relacionado también puede haber apuntado a SolarWinds.

Si bien SolarWinds dijo que 18,000 clientes pueden haber utilizado una versión comprometida de su producto Orion, se cree que las consecuencias han provocado que al menos 250 organizaciones gubernamentales y del sector privado hayan sido violadas. La lista de víctimas del gobierno incluye al Departamento de Justicia de Estados Unidos, que admitió esta semana que los piratas informáticos pueden haber accedido a algunas cuentas de correo electrónico de Microsoft 365, pero afirmó que no había evidencia de que los sistemas clasificados estuvieran comprometidos.

¿Son realmente el grupo de piratería ruso Cozy Bear los atacantes de SolarWinds?



Mientras las agencias gubernamentales de EE. UU. Y miles de empresas de todo el mundo evalúan si se han visto comprometidas en la violación de SolarWinds, a los expertos en ciberseguridad les preocupa que el alcance total de los presuntos piratas informáticos esté saliendo a la luz.

Personas familiarizadas con el asunto han dicho a medios, incluido The Washington Post, que el culpable es uno de los grupos de piratería informática más persistentes y astutos del planeta: el APT29 respaldado por el gobierno ruso, también conocido como Cozy Bear. Las firmas de inteligencia de amenazas cibernéticas han sido más cautelosas al asignar culpas, incluso cuando reconocen similitudes significativas.

El grupo, supuestamente vinculado al servicio de inteligencia exterior de Rusia, el SVR y, a veces, el FSB, es conocido por realizar esfuerzos múltiples y por no retroceder en las operaciones de espionaje, incluso después de que son descubiertos. APT29 históricamente ha hecho todo lo posible para ocultar sus actividades, a veces realizando operaciones de espionaje durante años, según investigadores de seguridad.

"Este es un adversario paciente, con buenos recursos y enfocado que ha mantenido una actividad de larga duración en las redes de víctimas", advirtió el jueves la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional sobre los atacantes de SolarWinds.

El gobierno de EE. UU. No ha culpado formalmente a ningún grupo por la violación de SolarWinds, que supuestamente ha afectado a los departamentos de Seguridad Nacional, Tesoro, Energía y varias empresas. Sin embargo, CISA señaló en su comunicado que el gobierno de los EE. UU. "Espera que eliminar a este actor de amenazas de los entornos comprometidos será muy complejo y desafiante para las organizaciones".

Se cree que Cozy Bear está formado por varias redes diferentes de piratas informáticos, lo que también puede dificultar la atribución, dijo Matthieu Faou, investigador de malware de ESET, con sede en Eslovaquia, que no ha vinculado al grupo con la violación de SolarWinds.

“Creo que está compuesto por varios subgrupos que tienen diferentes objetivos y herramientas, aunque a veces comparten algunos implantes”, dijo, agregando que el grupo está “lejos de ser monolítico”.

Muchas de las herramientas del grupo están hechas a medida y requerirían varios desarrolladores y operadores para campañas exitosas. La firma de seguridad F-Secure también ha dicho que el grupo probablemente se divide en subconjuntos para manejar sus intrincadas tareas.

Algunos otros grupos de piratas informáticos del estado-nación suelen responder a los llamados retrocediendo y reorganizando, mientras que otros abandonan por completo sus campañas.

"APT29 tiende a desplegar varios implantes en la misma máquina, por lo que cuando se detecta uno, reutilizan el restante para volver a tomar el control de la máquina", dijo Faou. “APT29 tiende a mantenerse lo más bajo posible para poder establecer persistencia durante años en las redes de sus objetivos”.

Cuando se descubrió que los piratas informáticos de APT29 realizaban una operación de espionaje de varios años dirigida a los Ministerios de Relaciones Exteriores en al menos tres países europeos, por ejemplo, APT29 se abrochó y volvió a infectar varias máquinas, según ESET.

En esa campaña, los piratas informáticos volvieron a infectar varias máquinas utilizando PsExec, una herramienta de software que puede permitir el movimiento lateral, dijo Faou.

Los ejecutivos corporativos, los funcionarios de seguridad nacional, los gobiernos estatales y la administración entrante de Biden todavía están trabajando para saber exactamente qué sistemas están comprometidos como resultado del incidente de SolarWinds. La campaña se había extendido de alguna manera a Microsoft, informó Reuters el jueves, lo que sugiere que el acceso de los piratas informáticos puede ser incluso más extenso de lo que se conoce actualmente. La compañía confirmó que había detectado y aislado binarios de SolarWinds maliciosos en sus sistemas.


Ataques APT28 anteriores a USA

Los piratas informáticos de Cozy Bear se han dirigido previamente a objetivos gubernamentales y de defensa sensibles en todo el mundo. El grupo comprometió el sistema de correo electrónico no clasificado del Departamento de Estado, la Casa Blanca y el Estado Mayor Conjunto en 2014 y fue uno de los dos grupos rusos involucrados en la violación del Comité Nacional Demócrata de 2016. Otro grupo ruso, conocido como APT28 o Fancy Bear, se asocia más comúnmente con la violación de DNC de 2016, aunque ambos comprometieron los sistemas DNC, según investigadores de seguridad.

Más recientemente, el grupo de espionaje ha perseguido a entidades en el Reino Unido, Canadá y los Estados Unidos que están trabajando para desarrollar la vacuna contra el coronavirus, según la Agencia de Seguridad Nacional.

SUNBURST

Ahora, se sospecha que están detrás de la operación SolarWinds, en la que los piratas informáticos combinaron un malware llamado SUNBURST en actualizaciones de software de una popular herramienta de administración de red para infectar potencialmente a miles de víctimas en los sectores público y privado.

Los detalles técnicos disponibles de la violación de SolarWinds indican que los piratas informáticos probablemente tengan la capacidad de penetrar más profundamente en las redes de las víctimas a través de otros medios más allá de SUNBURST, según los investigadores del DHS. Es decir, los piratas informáticos tienen medios adicionales para ejecutar su operación de espionaje, a través de Cobalt Strike, una herramienta de prueba de seguridad comercial, y TEARDROP, una variedad de software malicioso.

"Todo el mundo habla de SUNBURST ... pero SUNBURST es solo el espectáculo inicial, es solo la primera etapa", dijo Kyle Hanslovan, cofundador y director ejecutivo de Huntress Labs y ex empleado de la Agencia de Seguridad Nacional. “Apenas estamos hablando de TEARDROP o del uso de Cobalt Strike dentro de la red, que está diseñada para ser una capacidad sofisticada y no atribuible a nivel de estado-nación. ... Ahí es donde creo que sucederá esta historia real ".

  • Huntress Labs no ha culpado a Cozy Bear por la violación de SolarWinds.

Los administradores del sistema deben prepararse para que los piratas informáticos se hayan movido lateralmente, dice Chris Kubic, ex director de seguridad de la información de la NSA y arquitecto de seguridad senior para el entorno de información de la comunidad de inteligencia.

“Espero que para cualquier red en la que estén interesados hayan usado SolarWinds para obtener acceso inicial [a], ciertamente habrían establecido accesos persistentes dentro de esas redes”, dijo Kubic, ahora CISO de Fidelis Cybersecurity. "Es caro tener acceso a una de esas redes, así que una vez que lo hagan, la aprovecharán, así que espero que hayan intentado moverse lateralmente donde sea posible y comprometer otros sistemas".

  • Fidelis tampoco ha vinculado a Cozy Bear con la operación SolarWinds.

La terquedad de APT29 no solo se destaca una vez que está dentro de una red, sino que está perseguida desde el principio, dijo Jamil Jaffer, ex Comité de Inteligencia de la Cámara de Representantes y asistente de la Casa Blanca.

"Un atacante como Cozy Bear gastará el tiempo y la energía para llegar a donde quiere entrar, tomará el tiempo que necesite y utilizará los recursos que pueda", dijo Jaffer, vicepresidente senior de IronNet Cybersecurity y fundador y director ejecutivo del Instituto de Seguridad Nacional de la Universidad George Mason. "Si es un objetivo de valor lo suficientemente alto, esperarán hasta estar dentro".

FireEye, la firma de seguridad que descubrió por primera vez la brecha de SolarWinds, dijo el miércoles que ha trabajado con Microsoft y GoDaddy para desarrollar un interruptor de seguridad para que SUNBURST intente frustrar la campaña de los piratas informáticos. Pero el esfuerzo no eliminará a los piratas informáticos de los sistemas a los que ya han accedido con éxito con otras puertas traseras que les permitirían continuar causando estragos.

“[E] n las intrusiones que ha visto FireEye, este actor actuó rápidamente para establecer mecanismos persistentes adicionales para acceder a las redes de víctimas más allá de la puerta trasera de SUNBURST”, dijo FireEye. “Este killswitch no eliminará al actor de las redes de víctimas donde han establecido otras puertas traseras. Sin embargo, hará que sea más difícil ... para el actor aprovechar las versiones distribuidas anteriormente de SUNBURST ".

Los investigadores de seguridad han notado que monitorear los comportamientos de APT29 puede ser más difícil en comparación con esfuerzos similares para rastrear otros grupos de piratas informáticos vinculados al gobierno ruso, en parte porque revisan regularmente sus métodos en el camino.

La compañía de ciberseguridad Volexity ha apodado a los piratas informáticos responsables de la violación de SolarWinds como "Dark Halo", pero dadas las similitudes entre esos atacantes y APT29, es plausible que sean lo mismo, dijo Steven Adair, fundador y presidente.

Volexity respondió a tres incidentes separados en un grupo de expertos de EE. UU. Durante 2019 y 2020 que vinculó con Dark Halo. Durante un tiempo, los piratas informáticos continuaron cambiando "sus herramientas, su malware y cómo lo hicieron tanto que [Volexity] literalmente no podría vincular dos incidentes", dijo Adair. Sin embargo, finalmente, la empresa encontró suficientes puntos en común en esos incidentes para unirlos y, posteriormente, conectarlos con la brecha de SolarWinds.

Los piratas informáticos que pueden ejecutar este tipo de campañas de cambio de forma brindan enigmas de atribución para los investigadores de seguridad.

Y aunque APT29 tiene la reputación de realizar operaciones de espionaje cuidadosas y a largo plazo, los investigadores de ESET no han encontrado evidencia de que los piratas informáticos vinculados a SVR hayan llevado a cabo un ataque a la cadena de suministro como la brecha de SolarWinds en el pasado, haciendo su próximo movimiento, si es que lo están los culpables de esta operación de espionaje, un poco más impredecibles.

Esa imprevisibilidad, y la diversidad de las tácticas de Cozy Bear a lo largo de los años, pueden hacer que sea más difícil saber en este momento si los presuntos piratas informáticos de SolarWinds tienen otros trucos bajo la manga o si se retirarán de su aparente operación de espionaje. "No se rinden fácilmente", señaló Faou. "Pero cuando se rinden, desaparecen por completo".

Fuentes:

https://www.securityweek.com/solarwinds-taps-firm-launched-cisa-chief-chris-krebs-former-facebook-cso-alex-stamos

https://www.cyberscoop.com/cozy-bear-apt29-solarwinds-russia-persistent/

No hay comentarios:

Publicar un comentario