«Ahora sea testigo de la potencia de fuego de esta estación de batalla completamente armada y operativa». – Emperador Palpatine, Retorno del Jedi
Esta semana, Microsoft tomó una serie de pasos dramáticos contra el reciente ataque a la cadena de suministro de SolarWinds. En el tamaño, la velocidad y el alcance de sus acciones, Microsoft le ha recordado al mundo que todavía puede reunir potencia de fuego como nadie más como una fuerza casi abrumadora para el bien.
A través de cuatro pasos durante cuatro días, Microsoft flexionó el músculo de su equipo legal y su control del sistema operativo Windows para casi borrar las acciones de algunos de los piratas informáticos ofensivos más sofisticados que existen. En este caso, se cree que el adversario es APT29, también conocido como Cozy Bear, el grupo que muchos creen que está asociado con la inteligencia rusa y más conocido por llevar a cabo el ataque de 2016 contra el Comité Nacional Demócrata (DNC).
continúan surgiendo, el ataque a la cadena de suministro de SolarWinds ya es el ataque más significativo en la memoria reciente. Según SolarWinds, Microsoft, FireEye y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), los atacantes comprometieron un servidor utilizado para crear actualizaciones para SolarWinds Orion Platform, un producto utilizado para la gestión de infraestructura de TI. Los atacantes utilizaron este servidor de compilación comprometido para insertar malware de puerta trasera en el producto (llamado Solorigate por Microsoft o SUNBURST por FireEye).
Según SolarWinds, este malware estuvo presente como un caballo de Troya en las actualizaciones de marzo a junio de 2020. Esto significa los clientes que descargaron las actualizaciones troyanas también recibieron el malware. Si bien no todos los clientes que recibieron el malware lo vieron utilizado para ataques, se ha aprovechado para ataques más amplios contra las redes de algunas organizaciones estratégicamente críticas y sensibles.
Entre los atacados se incluyen FireEye, el Departamento del Tesoro de EE. UU., El Departamento de EE. UU. La Administración Nacional de Telecomunicaciones e Información (NTIA) de Comercio, los Institutos Nacionales de Salud (NIH) del Departamento de Salud, la Agencia de Infraestructura y Ciberseguridad (CISA), el Departamento de Seguridad Nacional (DHS) y el Departamento de Estado de EE. UU.
Todos los que han trabajado en este caso directamente han hablado de la naturaleza sofisticada del ataque. La amplitud, la importancia estratégica y la experiencia en seguridad de las víctimas lo demuestran. Si bien casi todos los ataques son calificados de «sofisticados» por las víctimas que intentan protegerse de las críticas, la comunidad de seguridad es casi unánime en su veredicto de que el término se merece en este caso.
La velocidad, el alcance y la escala de la respuesta de Microsoft fueron sin precedentes. Específicamente, Microsoft hizo cuatro cosas en el transcurso de cuatro días que efectivamente deshicieron el trabajo de los atacantes.
1) El 13 de diciembre, el día en que esto se hizo público, Microsoft anunció que eliminó el certificados que utilizaron los archivos troyanos. Estos certificados digitales permitieron a los sistemas Microsoft Windows creer que esos archivos comprometidos eran confiables. En este solo acto, Microsoft literalmente de la noche a la mañana les dijo a todos los sistemas Windows que dejaran de confiar en los archivos comprometidos que podrían impedir su uso.
2) Ese mismo día, Microsoft anunció que estaba actualizando Microsoft Windows Defender. , la capacidad antimalware incorporada en Windows, para detectar y alertar si encuentra el archivo troyano en el sistema.
3) Luego, el martes 15 de diciembre, Microsoft y otros se trasladaron a un «sumidero» uno de los dominios que utiliza el malware para comando y control (C2): avsvmcloud [.] com. SInkholing es una táctica legal y técnica para privar a los atacantes del control sobre el malware. En Sinkholing, una organización como Microsoft acude a los tribunales para arrebatarle el control de un dominio que se utiliza con fines malintencionados a su titular actual, el atacante.
Cuando tiene éxito, la organización puede utilizar su propiedad de ese dominio para cortar la propiedad del atacante. control sobre el malware y los sistemas que controla el malware. Los dominios sumideros también se pueden usar para ayudar a identificar los sistemas comprometidos: cuando el malware se acerca al dominio sumidero para obtener instrucciones, los nuevos propietarios pueden identificar esos sistemas e intentar localizar y advertir a los propietarios. Sinkholing es una táctica que se utilizó por primera vez en grandes ataques en la batalla de 2008-2009 contra Conficker y ha sido una táctica estándar en el conjunto de herramientas de Microsoft durante años, incluida la más reciente contra TrickBot.
4) Finalmente, hoy, miércoles 16 de diciembre, Microsoft básicamente cambió sus phasers de «aturdir» a «matar al cambiar la acción predeterminada de Windows Defender para Solorigate de» Alerta «a» Cuarentena «, una acción drástica que podría hacer que los sistemas se bloqueen pero que efectivamente matará el malware cuando lo encuentra. Esta acción también es importante porque otorga a otras empresas de seguridad licencia para seguir su ejemplo con este paso drástico: el tamaño y el liderazgo de Microsoft en su plataforma dan cobertura a otras empresas de seguridad que de otro modo no tendrían.
En conjunto, Estos pasos equivalen a que Microsoft primero neutralice y luego elimine el malware mientras arrebata el control de la infraestructura del malware a los atacantes. Para el final de esta semana, los atacantes se quedarán con apenas una fracción de los sistemas bajo su control.
Todavía pueden tener acceso a redes comprometidas a través de otros medios: eso es en lo que probablemente estén trabajando los respondedores de incidentes ahora. Y no hay forma de deshacer lo que hicieron mientras la infiltración pasó desapercibida durante meses. Pero aun así, estas acciones juntas están lo más cerca de aniquilar un ataque como hemos visto, lo cual es aún más notable debido a los posibles atacantes.
Al final, todo esto nos recuerda cuánto poder tiene Microsoft a su disposición. . Entre su control del sistema operativo Windows, su sólido equipo legal y su posición en la industria, tiene el poder de cambiar el mundo casi de la noche a la mañana si así lo desea. Y cuando elige entrenar ese poder en un adversario, realmente es el equivalente a la Estrella de la Muerte: capaz de destruir completamente un planeta con una sola explosión.
Afortunadamente en estos días, Microsoft está escatimando en el uso de su poder. Pero como he señalado antes, nunca debemos confundir la gentileza de Microsoft con la debilidad.
Y de todos modos, ¿cuál es el punto de tener una Estrella de la Muerte si no puedes usarla (para siempre) a veces?
Deja una respuesta