Investigadores encuentran infraestructura adicional utilizada por los hackers de SolarWinds

El ataque cibernético de SolarWinds que salió a la luz en diciembre de 2020, fue reconocido por su sofisticación en la amplitud de tácticas utilizadas para infiltrarse y persistir en la infraestructura objetivo, tanto que Microsoft dijo que los hackers detrás de la campaña son «operadores hábiles y metódicos que siguen las mejores prácticas de seguridad de operaciones (OpSec) para minimizar los rastros, permanecer fuera del rada y evitar la detección».

Una nueva investigación publicada hoy, muestra que el actor de la amenaza planeó cuidadosamente cada etapa de la operación para «evitar crear el tipo de patrones que hacen que rastrearlos sea simple», lo que dificulta de forma deliberada el análisis forense.

Al analizar los datos de telemetría asociados con indicadores de compromiso publicados anteriormente, RiskIQ dijo que identificó un conjunto adicional de 18 servidores con alta confianza que probablemente se comunicaron con las cargas útiles secundarias específicas de Cobalt Strike entregadas por medio del malware TEARDROP y RAINDROP, lo que representa un salto del 56% en la huella de mando y control conocida del atacante.

Los «patrones ocultos» se descubrieron mediante un análisis de los certificados SSL utilizados por el grupo.

El desarrollo se produce una semana después de que las agencias de inteligencia de Estados Unidos atribuyeran formalmente el ataque a la cadena de suministro al Servicio de Inteligencia Exterior de Rusia (SVR).

Se cree que el compromiso de la cadena de suministro de software SolarWinds le dio a APT29 (también conocido como Cozy Bear o The DuKes) la capacidad de espirar remotamente o potencialmente interrumpir más de 16 mil sistemas informáticos en todo el mundo, según el gobierno de Estados Unidos.

Los ataques están siendo rastreados por la comunidad de seguridad cibernética bajo distintos apodos, como UNC2452(FireEye}), Nobelium (Microsoft), SolarStorm (Unit42), StellarParticle (Crowdstrike) y Dark Halo (Volexity), citando diferencias en las tácticas, técnicas y procedimientos (TTP) empleados por el adversario con perfiles de atacantes conocidos, como APT29.

«Los investigadores o productos sintonizados para detectar la actividad conocida de APT29 no reconocerían la campaña cuando estaba sucediendo. Les resultaría igualmente difícil seguir el rastro de la campaña una vez que la descubrieran, por lo que sabíamos tan poco sobre las últimas etapas de la campaña de SolarWinds», dijo Kevin Livelli, director de inteligencia de amenazas de RiskIQ.

A inicios del año, Microsoft observó cómo los atacantes hicieron grandes esfuerzos par asegurar que la puerta trasera inicial (SOLAR aka Solorigate) y los implantes post-compromiso (TEARDROP y RAINDROP) quedó separada tanto como sea posible a fin de regresar a su actividad maliciosa. Esto se hizo para que en caso de que los implantes Cobalt Strike fueran descubiertos en las redes de las víctimas, no revelaría el binario SolarWinds comprometido y el ataque a la cadena de suministro que llevó a su implementación en primer lugar.

Sin embargo, RiskIQ asegura que este no es el único paso que tomó el actor de APT29 para cubrir sus pistas, que incluyeron:

• Comprobar los dominios a través de revendedores y en subastas de dominios con diferentes nombres, en un intento de ocultar la información de la propiedad y recomprar dominios caducados hasta ahora propiedad de organizaciones legítimas durante un período de varios años.
• Alojado en la infraestructura de ataque de primera etapa (SUNBURST) completamente en Estados Unidos, la segunda etapa (TEARDROP y RAINDROP) principalmente dentro de Estados Unidos, y la tercera etapa (GOLDMAX, también conocida como SUNSHUTTLE), principalmente en países extranjeros.
• Diseñar un código de ataque de modo que no haya dos piezas de malware implementadas durante las etapas sucesivas de la cadena de infección que se parezcan.
• Diseñar la puerta trasera SUNBURST de la primera etapa para que se transmita a sus servidores de comando y control (C2) con fluctuación aleatoria después de un período de dos semanas, en un intento probable de sobrevivir a la vida útil típica del registro de eventos en la mayoría de los sistemas de detección de puntos finales basados en host y plataformas de respuesta (EDR).

«La identificación de la huella de la infraestructura de ataque de un actor de amenazas generalmente implica correlacionar las direcciones IP y los dominios con campañas conocidas para detectar patrones», dijo Livelli.

«Sin embargo, nuestro análisis muestra que el grupo tomó amplias medidas para desviar a los investigadores», lo que sugiere que el actor de la amenaza tomó amplias medidas para evitar la creación de los patrones.