SOLARWINDS CYBER KILL CHAIN EXPOSITOR: José Daniel Plúas Segura SOLARWINDS - ORION • SaaS para infraestructura de TI. • Gestión de suministros • Administración de redes • 300.000 clientes • Plataforma ORION usada en todo el mundo, victima de uno de los mayores ciberataques SUPPLY CHAIN ATTACK • El ataque a Solarwinds (2020) fue un ataque a la cadena de suministro. • Los hackers insertaron código malicioso en el framework de Orion. • Se creó una puerta trasera mediante una actualización que fue llamada SUNBURST. • La actualización era un Troyano de acceso remoto (RAT). • Esto les permitió suplantar cuentas y usuarios de las organizaciones víctimas, accediendo a archivos del sistema y ocultando sus rastros. CYBER KILL CHAIN SIETE PASOS DE UN CIBERATAQUE 2. PREPARACIÓN ARMAMENTO 1. RECONOCIMIENTO 4. EXPLOTACIÓN 3. DISTRIBUCIÓN ENTREGA 6. COMANDO Y CONTROL 5. INSTALACIÓN 7. ACCIONES EN OBJETIVO RECONOCIMIENTO • Consiste en investigar los posibles objetivos, antes de llevar a cabo cualquier prueba de penetración. • Incluye: Identificar objetivos, encontrar vulnerabilidades, descubrir terceros conectados, explorar puntos de entrada existentes así como descubrir nuevos. • Los atacantes investigaron a Solarwinds, identificando vulnerabilidades y puntos de entrada potenciales. PREPARACIÓN - ARMAMENTO • Ocurre después de que el atacante ha descubierto toda la información necesaria sobre los objetivos potenciales, como las vulnerabilidades. • El trabajo de preparación culmina en la creación de malware para usar contra el objetivo identificado. • Los atacantes crearon un troyano de acceso remoto (RAT), que fue llamado Sunburst, que se insertó en las actualizaciones de software de Orion DISTRIBUCIÓN - ENTREGA • Las herramientas creadas se usan para infiltrarse en la red del objetivo y llegar a los usuarios. • La entrega puede implicar envío de correos electrónicos de phishing que contengan archivos adjuntos de malware, en los que solicitan a los usuarios que hagan clic. • Pueden encontrar la forma de piratear la red de una organización y explotar una vulnerabilidad de hardware o software para infiltrase en ella. • El troyano de acceso remoto (RAT) SUNBURST fue distribuido a través de una actualización de software de ORION, infectando mas de 18.000 sistemas en todo el mundo. EXPLOTACIÓN • En esta etapa, los atacantes se benefician de las vulnerabilidades que han descubierto en las fases anteriores para infiltrarse aún mas en la red del objetivo y logra su cometido. • En esta etapa el atacante se mueve lateralmente a través de una red para llegar a sus objetivos. • Los atacantes usaron su acceso para robar identidades y tokens con el fin de hacerse pasar por usuarios reales y llegar a todos los dispositivos de la red de cada organización. INSTALACIÓN • En esta etapa los ciberdelincuentes intentan instalar malware y otras armas cibernéticas en la red objetivo para tomar el control de sus sistemas y extraer datos valiosos. • Los atacantes pueden instalar malware utilizando caballos de Troya, puertas traseras o interfaces de línea de comandos. • Los atacantes instalaron backdoors en los sistemas infectados, lo que les permitió mantener un acceso persistente. COMANDO Y CONTROL (C2) • En esta etapa se realiza la comunicación con el malware que han instalado en la red de un objetivo para dar instrucciones a las armas o herramientas cibernéticas para que lleven a cabo sus objetivos. • Por ejemplo los atacantes pueden usar canales de comunicación para dirigir computadoras infectadas con el botnet MIRAI para sobrecargar un sitio web. • En esta etapa los atacantes controlaron los sistemas infectados de forma remota, ocultando su actividad maliciosa entre el tráfico normal de la red. ACCIONES SOBRE OBJETIVOS • Una vez que los ciberdelincuentes han tomado control de la red objetivo. Comienza la etapa final: llevar a cabo sus objetivos. • Los objetivos varían según el tipo de ataque algunos ejemplos incluyen: armar una botnet para interrumpir servicios con un ataque DDoS, distribuir malware para robar datos confidenciales o usar ransonware como herramienta de extorsión cibernética. • Los atacantes llevaron a cabo sus objetivos, que incluían el robo de información confidencial, estratégica y la interrupción de las operaciones de las organizaciones afectadas. Gracias por su atención…