La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo que el grupo APT detrás de la reciente campaña de compromiso dirigida a agencias gubernamentales de EE. UU. Utilizó más de un vector de acceso inicial.
“CISA tiene evidencia de vectores de acceso inicial adicionales, además de la plataforma SolarWinds Orion; sin embargo, estos aún están siendo investigados. CISA actualizará esta Alerta a medida que haya nueva información disponible”, dijo la agencia.
“No todas las organizaciones que tienen la puerta trasera entregada a través de SolarWinds Orion han sido atacadas por el adversario con acciones de seguimiento”.
Difícil de eliminar de las redes comprometidas
El grupo APT, sospechoso de ser el APT29 patrocinado por el estado ruso (también conocido como Cozy Bear y The Dukes), estuvo presente en las redes de organizaciones comprometidas durante largos períodos de tiempo según CISA.
Además, la agencia dijo que es muy probable que el actor de amenazas detrás de esta campaña de piratería coordinada haya hecho uso de otras tácticas, técnicas y procedimientos (TTP) que aún no se han descubierto como parte de las investigaciones en curso.
La agencia también está investigando incidentes en los que encontró TTP consistentes con esta actividad maliciosa en curso, “incluidos algunos en los que las víctimas no aprovechan SolarWinds Orion o donde SolarWinds Orion estaba presente pero no se observó actividad de explotación de SolarWinds”.
“CISA ha determinado que esta amenaza representa un riesgo grave para el gobierno federal y los gobiernos estatales, locales, tribales y territoriales, así como para las entidades de infraestructura crítica y otras organizaciones del sector privado”, agregó el asesor de riesgos de Estados Unidos.
“Este actor de APT ha demostrado paciencia, seguridad operativa y habilidad comercial compleja en estas intrusiones. CISA espera que eliminar a este actor de amenazas de entornos comprometidos será muy complejo y desafiante para las organizaciones”.
Detalles técnicos adicionales que incluyen información sobre los vectores de infección inicial, tácticas, técnicas y procedimientos (TTP) utilizados en esta campaña, medidas de mitigación e indicadores de compromiso están disponibles en la alerta AA20-352A de CISA.
ALERTA DE ACTIVIDAD
Revise la nueva Alerta de @CISAgov sobre la campaña #APT contra agencias federales e infraestructura crítica, que proporciona versiones actualizadas de productos afectados, IOC, técnicas ATT & CK® y pasos de mitigación. https://t.co/ZgzAbUNKjL #Cyber #Cybersecurity #Infosec pic.twitter.com/QnntuVhUXb– US-CERT (@USCERT_gov) 17 de diciembre de 2020
Hacks del gobierno de EE. UU. Confirmados oficialmente
El compromiso de múltiples redes federales de EE. UU. Después de la violación de SolarWinds se confirmó oficialmente hoy por primera vez en una declaración conjunta emitida por el FBI, CISA y ODNI.
“Esta es una situación en desarrollo, y aunque seguimos trabajando para comprender el alcance total de esta campaña, sabemos que este compromiso ha afectado a las redes dentro del gobierno federal”, dijeron las agencias de inteligencia de Estados Unidos.
Microsoft, FireEye y GoDaddy han colaborado para crear un interruptor de apagado para la puerta trasera de SolarWinds para obligar al malware a eliminarse a sí mismo de las redes comprometidas.
La puerta trasera, rastreada como Solarigate por Microsoft y Sunburst por FireEye, se distribuyó a través del mecanismo de actualización automática de SolarWinds en los sistemas de aproximadamente 18.000 clientes.
La lista de objetivos del gobierno de EE. UU. Comprometidos hasta ahora en esta campaña incluye el Tesoro de EE. UU., El Departamento de Estado de EE. UU., NTIA de EE. UU., NIH de EE. UU., DHS-CISA y el Departamento de Seguridad Nacional de EE. UU.