SolarWinds

Introducción

El compromiso de la empresa norteamericana SolarWinds fue uno de los ataques a la cadena de suministro más significativos hasta la fecha. El malware, conocido como SUNBURST, fue detectado a finales de 2020, casi un año después del inicio del compromiso. Este se localizó en septiembre de 2019. El ataque, que impactó a entidades gubernamentales y empresas privadas, comenzó mediante el compromiso del producto de SolarWinds conocido como Orion.

El ataque a la cadena de suministro fue llevado a cabo mediante el empleo de técnicas muy sofisticadas al alcance de muy pocos adversarios, en este caso, APT29. El grupo consiguió acceder al sistema de compilación de software de SolarWinds e insertó código malicioso que más tarde sería distribuido a través de actualizaciones – entre marzo y junio de 2020. Al haber sido introducido en el código que era distribuido de manera legítima, SUNBURST se ejecutaba dentro del tráfico legítimo en la red de la víctima y evadía los sistemas de detección de amenazas. De todos los clientes de SolarWinds, aproximadamente 18.000 se descargaron la actualización troyanizada durante los meses de marzo y junio de 2020, incluyendo instituciones gubernamentales. Debido al impacto y a la duración en el tiempo de este ataque, lo hemos considerado como “campaña” y no como “evento”.

El ataque

Según la investigación, el inicio del ataque ocurrió en septiembre de 2019, teniendo lugar la primera modificación del código fuente de Orion en octubre de 2019, cuando APT29 añadió un .NET vacío a la build de desarrollo. No se sabe con certeza por qué se eligió SolarWinds, se cree que probablemente APT29 quería comprometer un software que fuera masivamente utilizado en las empresas por todo tipo de empleados, dándoles más flexibilidad a la hora de realizar actividades en la red de la víctima.

El 26 de marzo de 2020 APT29 incluyó SUNBURST en la build de Orion y se distribuyó a los clientes. La funcionalidad maliciosa estaba camuflada mediante diversas técnicas para evitar su detección y se mantuvo dos semanas durmiendo hasta que fue ejecutada como un proceso más de los que ejecutaba el software en segundo plano. Dado que el código malicioso había sido firmado con el certificado válido, su naturaleza era mucho más difícil de detectar.

SUNBURST podía establecer conexiones con su servidor de Comando y Control (C2), pudiendo así enviar datos a Rusia, terminar procesos o instalar otro malware mediante el dropper conocido como TEARDROP.

Durante el tiempo que la intrusión pasó inadvertida, APT29 llevó a cabo recopilación de datos y credenciales hasta que, a finales de 2020, Mandiant – FireEye por aquel entonces – descubrió SUNBURST. La actividad continuó hasta el 12 de diciembre de 2020, cuando SolarWinds fue informado del compromiso.

Rusia fue acusada como responsable del compromiso tanto por el Gobierno estadounidense como por el británico. Naturalmente, Rusia negó los hechos y tachó las acusaciones de “absurdas”.