viernes, 22 de enero de 2021

FireEye publica un informe y una herramienta para detectar incidentes de SolarWinds

FireEye publica información sobre ataque SolarWinds

      Esta semana la firma de ciberseguridad FireEye ha lanzado un informe detallando en profundidad las técnicas utilizadas por los delincuentes informáticos que atacaron SolarWinds.

Además del informe, los investigadores de FireEye han lanzado una herramienta gratuita en GitHub llamada Azure AD Investigator, esta herramienta según indican los investigadores, podría llegar a detectar si los delincuentes informáticos de SolarWinds llegaron a utilizar alguna de sus técnicas dentro de sus redes.

Recordemos que el ataque recibido por parte de SolarWinds fue publicado por primera vez el 13 de diciembre de 2020, donde un actor amenazante consiguió acceso a la red del proveedor de software SolarWinds y corrompió la aplicación Orion con malware.

El malware inyectado en Orion fue Sunburst, el cual recopilo la información sobre las empresas infectadas. De los casi 18.000 clientes de SolarWinds que instalaron la versión corrupta de Orion, un pequeño porcentaje de ellos fue seleccionado por los delincuentes, a estos elegidos se le implementó una segunda cepa de malware conocida como Teardrop. Una vez infectados con esta segunda cepa los delincuentes utilizaron varias técnicas para escalar el acceso dentro de la red local del objetivo y al recurso de la nube, principalmente tenían el enfoque de violar la infraestructura de Microsoft 365.

El informe publicado por parte de FireEye contiene 35 páginas e indica con gran detalle y profundidad como estos delincuentes informáticos consiguieron violar las infraestructuras de sus víctimas sin ser detectados. Además, FireEye ha indicado que aun con el nivel de sofisticación y evasión utilizadas por los delincuentes informáticos, las técnicas utilizadas por estos son detectables y defendibles. Indican que fue la capacidad de FireEye para detectar estas técnicas en sus propias redes lo que llevaron a la empresa a investigar una brecha interna para posteriormente descubrir el incidente de SolarWinds.

Además de la aplicación lanzada por parte de FireEye, CrowdStrike ha publicado la CRT mientras que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU (CISA) ha publicado Sparrow, dos herramientas con objetivos similares de detección de actividad ilegal en redes comprometidas.


No hay comentarios:

Publicar un comentario