FireEye y Microsoft crean “kill switch” para hack de SolarWinds

Microsoft, FireEye y GoDaddy han colaborado en la creaci贸n de un interruptor de desactivaci贸n para la puerta trasera de SolarWinds.

Esta semana se revel贸 que hackers aparentemente patrocinados por el estado ruso vulneraron SolarWinds a帽adiendo c贸digo malicioso a una DLL (biblioteca de enlace din谩mico) de Windows utilizado por su plataforma de monitorizaci贸n inform谩tica Orion.

Esta DLL maliciosa es una puerta trasera, o backdoor, registrada como Solarigate por Microsoft, o como Sunburst, por FireEye, y fue distribuida a trav茅s del mecanismo de auto-actualizaci贸n de SolarWinds a aproximadamente 18.000 clientes, incluyendo organismos estatales de EE.UU., incluyendo el Departamento de Seguridad Nacional.

Como parte de un bolet铆n coordinado por Microsoft, SolarWinds y FireEye, esta 煤ltima public贸 la v铆spera un an谩lisis del ataque a la cadena de suministro y c贸mo funciona la puerta trasera de Sunburst. Esta investigaci贸n revel贸 que la puerta trasera Sunburst se conectar铆a a un servidor de comando y control (C2) en un subdominio de avsvmcloud[.]com para recibir comandos para ejecutar.

El informe de FireEye tambi茅n revel贸 el rango de direcciones IP a los que el malware resolv铆a. La soluci贸n detectada consist铆a en actualizar la configuraci贸n DNS con el fin de que el malware no pudiera ejecutarse nuevamente.

La v铆spera, el dominio del servidor de comando y control, avsvmcloud[.]com, fue confiscado y ahora resuelve a la direcci贸n IP 20.140.0.1, que pertenece a Microsoft. Esta confiscaci贸n de dominio permite a Microsoft y sus socios perforar el tr谩fico malicioso y analizarlo para identificar a las v铆ctimas.

El experto en seguridad inform谩tica Brian Krebs fue el primero en revelar que FireEye, Microsoft y Godaddy colaboraron en la creaci贸n de un “kill switch”, o interruptor de desactivaci贸n, para el malware Sunburst.

En un comunicado, FireEye explica que utilizaron la confiscaci贸n de avsvmcloud[.]com para crear un switch de eliminaci贸n: “Sunburst es el malware que fue distribuido a trav茅s del software de SolarWinds. Como parte del an谩lisis de Sunburst por parte de FireEye, identificamos un killwitch que evitar铆a que Sunburst siguiera funcionando. Dependiendo de la direcci贸n IP retornada cuando el malware resuelve avsvmcloud[.]com, bajo ciertas condiciones, el malware se terminar铆a por s铆 mismo e impedir铆a su posterior ejecuci贸n. FireEye colabor贸 con GoDaddy y Microsoft para desactivar las infecciones”.

Cabe recalcar que FireEye advierte que este interruptor de desactivaci贸n s贸lo termina con la infecci贸n original de Sunburst. “FireEye ha constatado que este actor ha establecido mecanismos adicionales persistentes para acceder a las redes de las v铆ctimas m谩s all谩 de la puerta trasera de Sunburst. El interruptor no extraer谩 al actor de las redes de v铆ctimas donde han establecido otras puertas traseras. Sin embargo, har谩 m谩s dif铆cil que el actor aproveche las versiones distribuidas anteriormente de Sunburst”.

Fotograf铆a: Elnas Azadi via Unsplash


Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.