El extenso ciberataque de SolarWinds que salió a la luz en diciembre pasado fue conocido por su sofisticación en la amplitud de tácticas utilizadas para infiltrarse y persistir en la infraestructura objetivo, tanto que Microsoft pasó a llamar al actor de amenazas detrás de la campaña "operadores hábiles y metódicos que siguen las mejores prácticas de seguridad de operaciones (OpSec) para minimizar los rastros, permanecer fuera del radar y evitar la detección ".
Como prueba más de esto, una nueva investigación publicada hoy muestra que el actor de la amenaza planeó cuidadosamente cada etapa de la operación para "evitar crear el tipo de patrones que simplifican el seguimiento", lo que dificulta deliberadamente el análisis forense.
Al analizar los datos de telemetría asociados con indicadores de compromiso publicados anteriormente, RiskIQ dijo que identificó un conjunto adicional de 18 servidores con alta confianza que probablemente se comunicaron con las cargas útiles secundarias específicas de Cobalt Strike entregadas a través del malware TEARDROP y RAINDROP, lo que representa un salto del 56% en la huella conocida de comando y control del atacante.
Los "patrones ocultos" se descubrieron mediante un análisis de los certificados SSL utilizados por el grupo.
El desarrollo se produce una semana después de que las agencias de inteligencia de EE. UU. Atribuyeran formalmente el ataque a la cadena de suministro al Servicio de Inteligencia Exterior de Rusia (SVR). Se dice que el compromiso de la cadena de suministro de software de SolarWinds le dio a APT29 (también conocido como Cozy Bear o The Dukes) la capacidad de espiar de forma remota o potencialmente interrumpir más de 16.000 sistemas informáticos en todo el mundo, según el gobierno de EE. UU.
Los ataques están siendo rastreados por la comunidad de ciberseguridad bajo varios apodos, incluidos UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unidad 42), StellarParticle (Crowdstrike) y Dark Halo (Volexity), citando diferencias en las tácticas, técnicas, y procedimientos (TTP) empleados por el adversario con el de perfiles de atacante conocidos, contando APT29.
"Los investigadores o los productos sintonizados para detectar la actividad conocida de APT29 no reconocerían la campaña cuando estaba sucediendo", dijo Kevin Livelli, director de inteligencia de amenazas de RiskIQ. "Les resultaría igualmente difícil seguir el rastro de la campaña una vez que la descubrieran, por lo que sabíamos tan poco sobre las últimas etapas de la campaña SolarWinds".
A principios de este año, el fabricante de Windows notó cómo los atacantes hicieron todo lo posible para asegurarse de que la puerta trasera inicial (SUNBURST también conocida como Solorigate) y los implantes posteriores al compromiso (TEARDROP y RAINDROP) permanecieran separados tanto como fuera posible para obstaculizar los esfuerzos de detección su actividad maliciosa. Esto se hizo para que en caso de que los implantes Cobalt Strike fueran descubiertos en las redes de víctimas; no revelaría el binario SolarWinds comprometido y el ataque a la cadena de suministro que llevó a su implementación en primer lugar.
Pero según RiskIQ, este no es el único paso que tomó el actor de APT29 para cubrir sus pistas, que incluyeron:
Comprar dominios a través de revendedores de terceros y en subastas de dominios con diferentes nombres, en un intento de ocultar la información de propiedad y recomprar dominios caducados que hasta ahora eran propiedad de organizaciones legítimas durante un período de varios años.
Alojando la infraestructura de ataque de primera etapa (SUNBURST) completamente en los EE. UU., La segunda etapa (TEARDROP y RAINDROP) principalmente dentro de los EE. UU. Y la tercera etapa (GOLDMAX también conocida como SUNSHUTTLE) principalmente en países extranjeros.
Diseñar un código de ataque de modo que no haya dos piezas de malware implementadas durante las etapas sucesivas de la cadena de infección que se parezcan, y
Diseñar la puerta trasera SUNBURST de primera etapa para que se dirija a sus servidores de comando y control (C2) con fluctuación aleatoria después de un período de dos semanas, en un intento probable de sobrevivir a la vida útil típica del registro de eventos en la mayoría de los sistemas de detección de puntos finales basados en host y Plataformas de respuesta (EDR).
"La identificación de la huella de la infraestructura de ataque de un actor de amenazas generalmente implica correlacionar IP y dominios con campañas conocidas para detectar patrones", dijo Livelli.
"Sin embargo, nuestro análisis muestra que el grupo tomó amplias medidas para desviar a los investigadores", lo que sugiere que el actor de la amenaza tomó amplias medidas para evitar la creación de tales patrones.
Piola
ResponderEliminar