Hackers utilizaron el dominio de SolarWinds

Los expertos en seguridad han tomado el control de un dominio malicioso clave utilizado para controlar las miles de computadoras comprometidas por el hack de SolarWinds y lo han convertido en un interruptor que evita que el malware distribuido a través de actualizaciones maliciosas a la herramienta de monitoreo de red Orion continúe funcionando.

La semana pasada, el fabricante de software con sede en Texas SolarWinds informó que los ciberdelincuentes comprometieron sus servidores e inyectaron malware en las actualizaciones de la plataforma Orion. Como resultado del incidente, las redes de organizaciones que utilizan esta plataforma, incluida la empresa de seguridad de la información FireEye, el Departamento del Tesoro de EE. UU. Y el Departamento de Seguridad Nacional de EE. UU., Se vieron comprometidas.

Microsoft pudo tomar el control del dominio clave de GoDaddy (avsvmcloud [.] Com), que fue utilizado por piratas informáticos para comunicarse con sistemas comprometidos. Ahora FireEye ha anunciado que la adquisición del dominio es un esfuerzo conjunto entre FireEye, GoDaddy y Microsoft.

“SUNBURST es un malware que se propaga a través del software SolarWinds. Durante el análisis de SUNBURST, encontramos un interruptor de apagado que podría evitar más operaciones de SUNBURST ”, dijo FireEye al reportero Brian Krebs.

Según la empresa, dependiendo de la dirección IP devuelta después de que el malware resuelva el dominio avsvmcloud [.] Com, bajo ciertas condiciones, el malware se destruirá a sí mismo y no se ejecutará.

“Este interruptor de interrupción afectará a las infecciones de SUNBURST nuevas y anteriores al desactivar las implementaciones de SUNBURST que todavía están señaladas por avsvmcloud [.] Com. Sin embargo, en las infiltraciones observadas por FireEye, el atacante se mueve rápidamente y establece mecanismos de persistencia adicionales para acceder a las redes de las víctimas fuera de la puerta trasera de SUNBURST. Killswitch no eliminará a un atacante de las redes de víctimas en las que haya instalado puertas traseras adicionales. Sin embargo, hará que sea más difícil para un atacante utilizar versiones previamente implementadas de SUNBURST ”, dijo FireEye.

Dados los datos y el control sobre el dominio malicioso en Microsoft, FireEye y GoDaddy, se puede suponer que tienen una idea de qué organizaciones siguen siendo vulnerables a SUNBURST.

Los piratas informáticos detrás del ataque SolarWinds hicieron todo lo posible para observar y mezclarse con la actividad normal de la red y mantuvieron una huella de malware ligera para ayudar a evitar la detección, escribió el CEO de FireEye, Kevin Mandia, en una publicación de blog el domingo. Los adversarios realizaron reconocimientos con paciencia, cubrieron constantemente sus huellas y utilizaron herramientas difíciles de atribuir, según Mandia.

El malware insertado en SolarWinds Orion enmascara el tráfico de su red y almacena los resultados del reconocimiento en archivos de configuración de complementos legítimos, lo que le permite integrarse con la actividad legítima de SolarWinds, según los investigadores de amenazas de FireEye. La puerta trasera utiliza múltiples listas de bloqueo ofuscadas para identificar herramientas forenses y antivirus que se ejecutan como procesos, servicios y controladores, dijeron.

Los piratas informáticos establecieron los nombres de host en su infraestructura de comando y control para que coincidieran con un nombre de host legítimo que se encuentra en el entorno de la víctima, lo que permite al adversario mezclarse con el entorno, evitar sospechas y evadir la detección, dijo FireEye. La elección de direcciones IP del atacante también se optimizó para evadir la detección, utilizando solo direcciones IP originadas en el mismo país que la víctima.

Facebook Comments