El mundo de antivirus

martes 22 de diciembre de 2020

Si se trata de la implementación del malware, lo primero que llega a la mente es el correo-e, los dispositivos extraíbles y los sitios web infectados. Es verdad, los malintencionados usan todos estos métodos de penetración. Pero estos métodos tienen una desventaja bastante importante (por supuesto, para ciberdelincuentes): nadie sabe si cada destinatario del mensaje con un adjunto va a iniciar el troyano. El usuario puede asustarse, el mensaje puede ser filtrado por un antispam, y a veces el inicio de programas en el PC es bastante limitado.

Por supuesto, uno puede intentar hackear el equipo del determinado usuario, al averiguar la contraseña o al usar alguna vulnerabilidad. Pero la contraseña puede ser sofisticada, y las vulnerabilidades pueden ser corregidas con las actualizaciones de seguridad.

Pero no son las únicas opciones de penetración en equipos. Se puede penetrar no en el PC del determinado usuario, sino en la red local del desarrollador del software usado en el equipo. Un hackeo, y todos los clientes del desarrollador de este software (o, mejor dicho, los que instalan actualizaciones, lo cual se requiere, como mínimo, cara corregir vulnerabilidades) están infectados. ¡Uno puede elegir a cualquiera!

Un ataque al proveedor. Fue ampliamente conocida después de la epidemia del troyano Not Petya (Trojan.Encoder.12544), cuando los malintencionados hackearon al desarrollador del sistema de flujo de documentos M.E.Doc – la empresa ucraniana Intellect Service. En el mismo momento fueron lanzadas las recomendaciones para prevenir ataques similares. Pero pasaron tantos años, y los mismos persisten.

Algunos hackers hackearon al productor norteamericano de software SolarWinds e implementaron una actualización maliciosa para su software Orion. Según se informa, el hackeo fue detectado como resultado de filtración del software usado por la empresa de seguridad informática FireEye. Durante la investigación se detectó que el malware había penetrado en FireEye durante la actualización del software SolarWinds. Y enseguida apareció una noticia sobre la filtración de los datos del Ministerio de finanzas y Administración nacional de telecomunicaciones e información de los EE.UU., también clientes de SolarWinds.

A propósito, una parte del software SolarWinds se crea de forma outsource en Bielorrusia, en el centro de negocios Welcome, dirección: ciudad de Minsk, c/Internatsionalnaya, 36, donde se ubica la oficina bielorrusa de SolarWinds que emplea a unos 100 desarrolladores. Es posible que allí haya sido creado Orion.

SolarWinds confirmó el hecho de infección de Orion – un software para supervisión centralizada y administración de recursos IT en las redes importantes, así mismo, por los servidores, estaciones de trabajo, dispositivos móviles e IoT etc. (es un sistema de control de red - NMS). El malware se entregaba a clientes (que son más de 300 000, así mismo, Ciscо y Apple) de la empresa en marzo-junio del año 2020.

Cabe destacar que el malware (llamado SUNBURST) no empezaba a funcionar enseguida. Esperaba de 12 a 14 días antes de empezar a funcionar, este truco es conocido, en particular, para programas en SO Android. En este caso, los usuarios olvidan qué han instalado. Además, el troyano dispone de una lista negra de software. Al detectar procesos de esta lista, el troyano no realiza ninguna función maliciosa. Pero, al detectar los servicios de la lista negra, intenta asignarles el modo de inicio Disabled. Es un intento bastante primitivo de bloquear el funcionamiento de sistemas.

FireEye informa que fueron comprometidas las redes de muchos clientes de SolarWinds en todo el mundo – en América del Norte, Europa, Asia. Y, según se informa, en Rusia también. Así que, posiblemente, en realidad el objetivo eran las empresas rusas, aunque las demás también fueron afectadas 😊 Cabe destacar que SolarWinds presentó a la Comisión de Bolsa y Valores (SEC) un informe donde notificó que de 33 000 clientes suyos que usaban Orion la actualización maliciosa había sido descargada por menos de 18 000. ¿Qué significa todo esto? Que 15 000 clientes no habían actualizado Orion, y, probablemente, otro software usado, durante 6 meses como mínimo. Por lo tanto, tendrán muchas vulnerabilidades de seguridad.

Una vez detectada la infección, para discutir sobre las consecuencias del posible robo de los datos del Ministerio de Finanzas de los EE.UU. y la Administración Nacional de Telecomunicaciones e Información (NTIA) fue reunido el Consejo de Seguridad Nacional de los EE.UU. Es probable que publiquen otras recomendaciones. Otra vez.

Un ataque a la cadena de entregas no es ninguna novedad. La empresa Doctor Web informó sobre un aco similar aún en el año 2011, cuando fue atacada una red de farmacias en el sur de Rusia (en aquel momento, los expertos de la empresa pudieron controlar completamente la botnet Dande, gracias a lo cual durante 6 meses nuestros analistas pudieron observar el comportamiento de esta botnet. Y después de la noticia sobre SolarWinds fue publicada otra – sobre un hackeo de la empresa desarrolladora del software Amital, por lo cual sufrieron decenas de empresas de entrega e importación de bienes en Israel.

No se sabe si algo fue robado a las entidades públicas de los EE.UU. Pero en cuanto a FireEye, fueron robados y publicados para todo el mundo sus herramientas de pentest – básicamente, para hackear las redes de empresas. FireEye confirma no haber detectado el uso ni la difusión de estas herramientas por los malintencionados. Pero tampoco pasó mucho tiempo.

Cabe destacar que en su momento M.E.Doc recomendaba desactivar el antivirus a los que usaban su software. El tiempo pasa, las recomendaciones siguen váidas. En la página de soporte técnico de SolarWinds (editada, pero en Internet todo puede ser recuperado) fue publicado un consejo para los usuarios: desactivar el escaneo antivirus de archivos y carpetas de NMS Orion.

Y en general, parece que no se preste mucha atención a la seguridad en SolarWinds. Hasta después de la publicación de la información sobre el hackeo en los medios de comunicación y el escándalo posterior, SolarWinds no eliminaron de su servidor algunas compilaciones infectadas. Y anteriormente se informaba sobre un posible acceso a su empresa.

#hackeo #malware #actualizaciones_de_seguridad