Contenidos
Hace casi exactamente un año, los investigadores de seguridad descubrieron una de las peores filtraciones de datos en la historia moderna, si es que alguna vez hubo alguna: una campaña de piratería respaldada por el Kremlin que comprometió los servidores del proveedor de administración de red SolarWinds y, a partir de ahí, conecta a 100 de su perfil más alto. clientes, incluidas nueve agencias federales de EE. UU.
Nobelium, el nombre que Microsoft dio a los intrusos, finalmente fue expulsado, pero el grupo nunca se rindió y probablemente se volvió más descarado y experto en hackear un gran número de objetivos de un solo golpe. El último recordatorio de la experiencia del grupo proviene de la firma de seguridad Mandiant, que el lunes publicó una investigación que detalla las muchas hazañas de Nobelium, y algunos errores, mientras continuaba pirateando las redes de algunos de sus objetivos de mayor valor.
abuso de confianza
Una de las cosas que hizo a Nobelium tan formidable fue la creatividad de sus TTP, la jerga de los piratas informáticos para las tácticas, técnicas y procedimientos. En lugar de irrumpir en cada objetivo uno por uno, el grupo pirateó la red de SolarWinds y utilizó el acceso y la confianza que los clientes tenían en la empresa para enviar una actualización maliciosa a aproximadamente 18.000 de sus clientes.
Casi instantáneamente, los piratas informáticos podrían inmiscuirse en las redes de todas estas entidades. Sería similar a un ladrón irrumpiendo en las instalaciones de un cerrajero y obtener una llave maestra que abre las puertas de todos los edificios del vecindario, ahorrándole la molestia de tener que abrir todas las cerraduras. El método de Nobelium no solo fue escalable y eficiente, sino que también facilitó mucho la ocultación de las compensaciones masivas.
El informe de Mandiant muestra que el ingenio de Nobelium no ha flaqueado. Desde el año pasado, los investigadores de la compañía aseguran que los dos grupos de hackers vinculados al hack de SolarWinds, uno llamado UNC3004 y el otro UNC2652, han seguido ideando nuevas formas de comprometer una gran cantidad de objetivos de manera eficiente.
En lugar de envenenar la cadena de suministro de SolarWinds, los grupos han comprometido redes de proveedores de soluciones en la nube y proveedores de servicios administrados, o CSP, que son empresas de terceros subcontratadas en las que muchas grandes empresas confían para una amplia gama de servicios de TI. Luego, los piratas informáticos encontraron formas inteligentes de utilizar a esos proveedores comprometidos para entrometerse en sus clientes.
“Esta actividad de intrusión refleja un conjunto de actores de amenazas con recursos suficientes que operan con un alto nivel de preocupación por la seguridad operativa”, dijo el informe el lunes. “El abuso por parte de un tercero, en este caso un CSP, puede facilitar el acceso a una amplia gama de víctimas potenciales a través de un único compromiso”.
Artesanía avanzada
La nave avanzada no se detuvo allí. Según Mandiant, otras tácticas avanzadas e ingenio incluyeron:
- Uso de credenciales robadas por piratas informáticos con motivaciones económicas que utilizan malware como Cryptbot, un ladrón de información que recopila credenciales del sistema y del navegador web y carteras de criptomonedas. La ayuda de estos piratas informáticos permitió a UNC3004 y UNC2652 comprometer objetivos incluso cuando no estaban utilizando un proveedor de servicios pirateado.
- Una vez que los grupos de piratas informáticos estuvieron dentro de una red, pusieron en peligro los filtros de spam corporativos u otro software con “privilegios de suplantación de la aplicación”, que tienen la capacidad de acceder al correo electrónico u otros tipos de datos de cualquier otra cuenta en la red comprometida. Hackear esta única cuenta evitó la molestia de tener que iniciar sesión en cada cuenta individualmente.
- El abuso de servicios proxy residenciales legítimos o proveedores de nube geolocalizados como Azure para conectarse a destinos finales. Cuando los administradores de las empresas pirateadas miraron los registros de acceso, vieron conexiones de ISP locales con buena reputación o proveedores en la nube que se encontraban en la misma área geográfica que las empresas. Esto ayudó a enmascarar las intrusiones, ya que los piratas informáticos patrocinados por países a menudo usan direcciones IP dedicadas que despiertan sospechas.
- Formas inteligentes de eludir las restricciones de seguridad, como extraer máquinas virtuales para determinar las configuraciones de enrutamiento interno de las redes que querían piratear.
- Obtenga acceso a un directorio activo almacenado en la cuenta de Azure de un objetivo y use esta poderosa herramienta de administración para robar claves criptográficas que generarían tokens que podrían eludir las protecciones de autenticación de dos factores. Esta técnica ha proporcionado a los intrusos lo que se conoce como Golden SAML, que es similar a una llave maestra que desbloquea todos los servicios utilizando el Lenguaje de marcado de aserción de seguridad, que es el protocolo que hace que el inicio de sesión único, 2FA y otros funcionen. mecanismos.
- Usando un descargador personalizado llamado Ceeloader.