Detectada campaña de ciberataques a través de SolarWinds

ANÁLISIS

El domingo día 13 de diciembre de 2020 se conoció que el ataque sufrido recientemente por FireEye se debió a un ataque a la cadena de suministro en el que, según la información publicada por FireEye, los actores responsables de esta campaña obtuvieron acceso a numerosas organizaciones públicas y privadas de todo el mundo mediante el despliegue de actualizaciones del software de monitorización y gestión Orion de SolarWinds, a las que se añadió código dañino para el compromiso de los sistemas. [2][5] De esta forma los atacantes tendrían una vía de acceso a la red de los sistemas afectados.

Por su parte, SolarWinds ha indicado que este ataque afecta a las versiones de Orion publicadas entre marzo y junio de 2020 (desde 2019.4 HF5  hasta 2020.2.1). [3] La última versión ya está disponible en el Portal del Cliente de SolarWinds.

IOC(s) 

C:windowssyswow64netsetupsvc.dll 
avsvmcloud.com 
digitalcollege.org 
freescanonline.com 
deftsecurity.com 
thedoccloud.com 
websitetheme.com 
highdatabase.com 
incomeupdate.com 
databasegalore.com 
panhardware.com 
zupertech.com 
seobundlekit.com 
lcomputers.com 
virtualdataserver.com 
digitalcollege.org 
98.225.248.37 
13.59.205.66 
54.193.127.66 
54.215.192.52 
34.203.203.23 
139.99.115.204 
5.252.177.25
5.252.177.21 
204.188.205.176 
51.89.125.18
167.114.213.199 
sha256  d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600  
sha256  53f8dfc65169ccda021b72a62e0c22a4db7c4077f002fa742717d41b3c40f2c7  
sha256  019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134  
sha256  ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6  
sha256  32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77  
sha256  292327e5c94afa352cc5a02ca273df543f2020d0e76368ff96c84f4e90778712 
sha256  c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71  
sha256  019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134  
sha256  ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6  
sha256  32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 

RECOMENDACIONES 

• Se recomienda actualizar a la versión 2020.2.1 HF 1 de la Plataforma Orion lo antes posible. 
• Se recomienda bloquear las direcciones IP de los C2 identificados por FireEye y Microsoft.
• Se recomienda que los servidores de SolarWinds estén aislados o desconectados hasta determinar que no contienen código dañino.
• Se recomienda analizar los servidores usando las reglas Yara publicadas por FireEye. [4]
• Bloquear las direcciones IP de los C2 identificados por FireEye y Microsoft
• Se recomienda cambiar las contraseñas de las cuentas que tienen acceso a los servidores/infraestructura de SolarWinds.
• Si SolarWinds se utiliza para gestionar la infraestructura de redes, se recomienda llevar a cabo una revisión de las configuraciones de los dispositivos por si hubiera modificaciones inesperadas/no autorizadas.

REFERENCIAS

[1] https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/10714-ccn-cert-al-11-20-campana-de-ciberataques-a-la-plataforma-orion-de-solarwinds.html
[2] https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html
[3] https://www.solarwinds.com/securityadvisory
[4] https://github.com/fireeye/sunburst_countermeasures/blob/main/all-yara.yar
[5] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html