SolarWinds — SUNBURST

Lectura en audio de esta entrada.

Los antecedentes

SolarWinds Worldwide LLC, una compañía de tecnología de la información con sede en Austin, Texas, desarrolla y comercializa el producto de monitoreo y administración de redes Orion una plataforma empresarial ampliamente implementada para la monitorización centralizada, la administración de configuración y la visibilidad operativa de la infraestructura de red. Orion está, según la estimación de la encuesta de la industria, desplegada en más de treinta mil organizaciones a nivel mundial, incluida una fracción sustancial de las agencias federales de defensa y civil de los Estados Unidos, de las principales empresas del sector privado de los EE.UU. y de los estados socios, y de las instituciones del sector público de los países socios. El producto tiene acceso privilegiado a los sistemas de infraestructura que supervisa y, en consecuencia, es un objetivo de alto valor para la recopilación de inteligencia adversaria.

La intrusión contra SolarWinds en sí misma se evalúa por una investigación posterior que se inició aproximadamente en septiembre de 2019. Los intrusos establecieron acceso a la infraestructura de desarrollo de software de Solar Winds, realizaron un reconocimiento del entorno de construcción durante el otoño y el invierno de 20192020, y desde aproximadamente febrero de 2020 comenzaron la modificación deliberada del código fuente de Orion en el proceso de construcción para insertar la variante de malware SUNBURST un implante de puerta trasera que se compilaría en paquetes de actualización de orion legítimos y firmados con código y se distribuiría a los clientes de SolarWends a través del canal normal de actualizaciones de software.

La Operación

Las actualizaciones de Orion con troyanos de SUNBURST se distribuyeron a los clientes de SolarWinds en ciclos de actualización sucesivos entre marzo de 2020 y junio de 2020. Aproximadamente 18,000 clientes de SunWindse descargaron e instalaron las actualizações troyanas. El implante de Sunburst, en la instalación, contenía un período de inactividad extendido (aproximadamente doce a catorce días) y una serie de controles operativos diseñados para evadir la detección incluyendo la verificación de que el sistema host era un entorno de cliente normal en lugar de un entornamiento de investigación de seguridad antes de cualquier intento de comunicarse con la infraestructura de comando y control de los operadores. Posteriormente, el implante se comunicó con infraestructura del operador utilizando subdominios derivados de algoritmos de generación de dominios bajo avsvcloudm.com, un dominio que se había registrado para el propósito y que ha sido objeto de un análisis posterior de atribución forense.

La puerta trasera de SUNBURST en 18,000 entornos de clientes no constituyó en sí misma la intrusión contra los objetivos de alto valor afectados. Más bien, SUN BURST funcionó como el vehículo de acceso para una campaña de intrusión de seguimiento, dirigida manualmente, en la que los operadores identificaron, de la población de hosts implantados con SUNbURST, los blancos de interés operativo, y llevaron a cabo un compromiso adicional de esos blancos utilizando herramientas adicionales (incluidos los implantes posteriormente designados TEARDROP y RAINDROP). Aproximadamente cien objetivos de gran valor fueron sujetos de intrusiones activos en la campaña post-SUNBurst.

La intrusión fue identificada por primera vez por la empresa de seguridad cibernética FireEye, que descubrió el 8 de diciembre de 2020 que la propia empresa había sido objeto de una intrusión que había resultado en la exfiltración de las herramientas del equipo rojo Mandiant de FireEye.

Divulgación

El Gobierno de los Estados Unidos llevó a cabo la atribución formal de la intrusión de SolarWinds a lo largo de un período prolongado y a través de múltiples declaraciones. Una declaración conjunta emitida por el FBI, la Oficina del Director de Inteligencia Nacional, la Agencia de Seguridad Nacional y la CISA el 5 de enero de 2021 caracterizó la operación como "probablemente de origen ruso" y como realizada por un "Actor de Amenaza Persistente Avanzada (APT) ".

La atribución formal al Servicio de Inteligencia Extranjera de la Federación Rusa (Sluzhba Vneshney Razvedki, SVR) se realizó el 15 de abril de 2021 en una acción coordinada del Gobierno de los Estados Unidos que combinó una declaración pública de atribución, la imposición de sanciones del Tesoro a seis compañías tecnológicas rusas designadas como respaldadoras de los servicios de inteligencia rusos y la expulsión de diez diplomáticos rusos de Estados Unidos.

La revisión institucional y la respuesta del Congreso a SolarWinds continuaron a lo largo de 2021 y 2022. La Junta de Revisión de Seguridad Cibernética (CSRB), establecida por la administración Biden en febrero de 2022 bajo la Orden Ejecutiva 14028, realizó como su primera revisión (lanzada en julio de 2022) la respuesta paralela a la vulnerabilidad Log4j en lugar de SolarWinns; el caso SolarWynds fue objeto de una investigación separada por parte del Comité Selecto de Inteligencia del Senado, por el Comité de Seguridad Nacional de la Cámara de Representantes y por la Oficina de Responsabilidad Gubernamental. El registro institucional combinado caracteriza a Solarwinns como el compromiso de la cadena de suministro más consecuente en el registro público del Gobierno de los Estados Unidos y como una referencia fundamental para la reorientación federal de la política de seguridad de cadena de suministros de Estados Unidos después de 2020.[1]

La Federación Rusa ha negado sistemáticamente la responsabilidad por la intrusión de SolarWinds. El presidente Vladimir Putin y las sucesivas declaraciones del gobierno ruso han rechazado la atribución; el SVR no ha comentado en detalle. El paquete de sanciones y expulsiones de abril de 2021 fue recibido por contra-sanciones rusas y la expulsión de diez diplomáticos estadounidenses de Moscú.[1]

El legado

SolarWinds es el caso de referencia canónico para el compromiso de la cadena de suministro como una técnica de recopilación de inteligencia a nivel estatal. La estructura de la operación el compromiso paciente y de varios meses de un proveedor de software para obtener acceso confiable a la base de clientes del proveedor, con la posterior orientación selectiva de subconjuntos de alto valor de la población afectada se ha replicado sustancialmente en casos posteriores (el compromiso de Mimecast de diciembre de 2020, la explotación de Kaseya VSA de julio de 2021, la respuesta de Log4j en diciembre de 2021 y otros), en algunos casos por el mismo actor atribuido a SVR y en otros por operadores paralelos atribuidos por el estado ruso, chino y norcoreano.[1]

La respuesta institucional a SolarWinds ha sido sustancialmente estructural. La Orden Ejecutiva 14028 del 12 de mayo de 2021 (Mejorando la Ciberseguridad de la Nación) estableció nuevos requisitos sobre la seguridad de la cadena de suministro de software federal, sobre la notificación de incidentes federales y sobre la adopción de la arquitectura federal de confianza cero. La Ley de Autorización de Defensa Nacional para el Año Fiscal 2021, la Ley de Notificación de Incidentes Cibernéticos para Infraestructuras Críticas de 2022, y las sucesivas asignaciones han financiado la respuesta institucional adicional. El marco estatutario y de políticas posterior a 2020 sobre la ciber seguridad federal y el riesgo de las cadenas de suministros refleja sustantivamente las lecciones extraídas de SolarWinns.

Las consecuencias estratégicas de contrainteligencia de la actividad de explotación posterior a SUNBURST siguen siendo en parte clasificadas. El producto de exfiltración de las agencias federales afectadas se ha caracterizado en declaraciones de registro público como "altamente significativo", pero el contenido específico exfiltrado no se ha publicado. Sucesivas declaraciones del gobierno de los Estados Unidos han caracterizada la operación como una avanzada recopilación de inteligencia extranjera rusa de maneras que persistirán más allá del cierre operativo inmediato.

Dossiers y agencias relacionados

Este expediente es el análogo de la cadena de suministro a la exfiltración de datos de personal del gobierno federal documentada en el 2015 OPM Data Breach y a la campaña de explotación masiva documentado en HAFNIUM (Microsoft Exchange) (2021). Se encuentra junto con la divulgación de herramientas cibernéticas de Vault 7 y se conecta a Stuxnet como la principal operación cibernética ofensiva de los estados occidentales en el registro público. Las entradas a nivel de agencia más directamente involucradas son la Agencia Central de Inteligencia y la Agencia de Seguridad Nacional; el contexto de nivel de país se encuentra en las páginas para los Estados Unidos y Rusia.

Fuentes y lecturas adicionales

FireEye / Mandiant, "Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor", 13 de diciembre de 2020; Formulario 8-K de Solar Winds, presentado el 14 de diciembre del 2020 ante la Comisión de Bolsa y Valores de los Estados Unidos.