Esta semana se reveló que hackers aparentemente patrocinados por el estado ruso vulneraron SolarWinds añadiendo código malicioso a una DLL (biblioteca de enlace dinámico) de Windows utilizado por su plataforma de monitorización informática Orion.
Esta DLL maliciosa es una puerta trasera, o backdoor, registrada como Solarigate por Microsoft, o como Sunburst, por FireEye, y fue distribuida a través del mecanismo de auto-actualización de SolarWinds a aproximadamente 18.000 clientes, incluyendo organismos estatales de EE.UU., incluyendo el Departamento de Seguridad Nacional.
Como parte de un boletín coordinado por Microsoft, SolarWinds y FireEye, esta última publicó la víspera un análisis del ataque a la cadena de suministro y cómo funciona la puerta trasera de Sunburst. Esta investigación reveló que la puerta trasera Sunburst se conectaría a un servidor de comando y control (C2) en un subdominio de avsvmcloud[.]com para recibir comandos para ejecutar.
El informe de FireEye también reveló el rango de direcciones IP a los que el malware resolvía. La solución detectada consistía en actualizar la configuración DNS con el fin de que el malware no pudiera ejecutarse nuevamente.
La víspera, el dominio del servidor de comando y control, avsvmcloud[.]com, fue confiscado y ahora resuelve a la dirección IP 20.140.0.1, que pertenece a Microsoft. Esta confiscación de dominio permite a Microsoft y sus socios perforar el tráfico malicioso y analizarlo para identificar a las víctimas.
El experto en seguridad informática Brian Krebs fue el primero en revelar que FireEye, Microsoft y Godaddy colaboraron en la creación de un “kill switch”, o interruptor de desactivación, para el malware Sunburst.
En un comunicado, FireEye explica que utilizaron la confiscación de avsvmcloud[.]com para crear un switch de eliminación: “Sunburst es el malware que fue distribuido a través del software de SolarWinds. Como parte del análisis de Sunburst por parte de FireEye, identificamos un killwitch que evitaría que Sunburst siguiera funcionando. Dependiendo de la dirección IP retornada cuando el malware resuelve avsvmcloud[.]com, bajo ciertas condiciones, el malware se terminaría por sí mismo e impediría su posterior ejecución. FireEye colaboró con GoDaddy y Microsoft para desactivar las infecciones”.
Cabe recalcar que FireEye advierte que este interruptor de desactivación sólo termina con la infección original de Sunburst. “FireEye ha constatado que este actor ha establecido mecanismos adicionales persistentes para acceder a las redes de las víctimas más allá de la puerta trasera de Sunburst. El interruptor no extraerá al actor de las redes de víctimas donde han establecido otras puertas traseras. Sin embargo, hará más difícil que el actor aproveche las versiones distribuidas anteriormente de Sunburst”.
Fotografía: Elnas Azadi via Unsplash