En el episodio previo de Vulnerable comenté, lo que hasta ese momento, tenía como información confirmada sobre el ataque a Solarwinds. Desde ese momento más luz ha salido a la superficie y este tema promete no irse a ningún lado pronto así que es necesario hacer un episodio de seguimiento. Si no han escuchado el episodio previo los invito - ámpliamente - a hacerlo pero en caso de que estén un poco apretados de tiempo les doy un rápido resumen:
En uno de los ataques a la cadena de suministro que mayor alcance ha tenido en lo que tengo memoria, Solarwinds (empresa de software que desarrolla productos para el monitoreo de redes) fue atacada. Hackers cercanos al gobierno ruso instalaron backdoors en las actualizaciones de su plataforma Orion logrando de manera inmediata que todos las organizaciones que usan esa versión Orion fueron blanco fácil de los mismos hackers. Se estima que unas 18,000 organizaciones instalaron la actualización y la mayoría de las que fueron atacadas consecuentemente son agencias gubernamentales en Estados Unidos.
Ahora sí, es momento de comentar sobre las actualizaciones del caso.
Desde la semana pasada sabía que una de las organizaciones infiltradas por los hackers rusos, gracias al backdoor en Orion fue la empresa de seguridad FireEye. Si esta información ya era conocida, ¿por qué no mencionarla en el episodio previo? Bueno, la principal razón fue que en mi opinión cuando una empresa que se dedica a la seguridad es víctima de un ataque se aprovecha, vergonzosamente, la oportunidad para ridiculizarlos. Y también en mi opinión es un ataque sin sentido. Primero que nada las empresas de esta industria suelen estar digitalizadas en un porcentaje muy superior al de organizaciones en otras industrias lo que aumenta su superficie de ataque. Fireye, también enfrenta el típico reto en cuanto a la protección de sus activos. Para nunca ser víctimas de un ataque, necesitan detectar, detener y remediar el 100% de los intentos cometidos en su contra. Los atacantes por su lado solo necesitan ser exitosos en uno de sus miles de intentos. Es más la manera en que el ataque fue manejado por Fireye me parece que es para aplaudirles lejos de ridiculizarlos. Gracias a la transparencia de la organización basada en California, supimos que en su caso los hackers aprovecharon la intrusión a sus redes para robar herramientas de hackeo, llamadas del “Red team”. Probablemente estas herramientas son usadas por FireEye como una herramienta fundamental en sus servicios de consultoría, como una herramienta de demostración para su fuerza de preventa o fueran de cierta utilidad incluso en laboratorios y proceso de QA. Sea cual sea el uso que FireEye daba a sus herramientas de hackeo, ahora están en manos de una organización que muy probablemente pretenda usarla con fines criminales, así que la propia organización que fue víctima publicó en github un set de reglas llamadas “Sunburts Countermeasures” que cualquier organización puede utilizar para detectar si las herramientas robadas son utilizadas en su contra. Sunburst Countermeasures incluye reglas:
Snort
YARA
Indicadores de compromiso
ClamAV
¿Qué más salió a la luz recientemente y relacionado con el tema?
Microsoft. El gigante de Redmond, Washington se sumó a la respuesta a incidentes. Según un post de su Presidente Brad Smith del pasado 17 de diciembre el ataque continuaba activo y el 75% de los objetivos estaban dentro de Estados Unidos y además de múltiples agencias federales también se encuentra el estado de Florida. Smith ilustró su post con un mapa que señala ubicaciones fuera de Estados Unidos donde el producto Microsoft Defender pudo identificar que también estaba presente alguna de las versiones vulnerables de Orion. Y ahí hubo un problema de interpretación: Al menos una publicación referenció dicha entrada de blog para asegurar que al igual que FireEye, el Estado de Florida, La Secretaría del Tesoro, de la Defensa y la de Comercio, había víctimas en lugares como Bélgica, España, Reino Unido, Israel, Emiratos Árabes Unidos, Canadá y… México.
Pero… ¿qué tan cierta resulta esa versión?
Es momento de hablar sobre la desinformación.
Como ya he hecho en episodios previos de Vulnerable, la prensa me parece que ha hecho un trabajo sensacionalista en unos casos y banal en otros, al cubrir la nota. El mapa que ilustra el post de Brad Smith lo podemos pensar como un diagrama de Venn. En un círculo están organizaciones que usan Microsoft Defender, en el otro Organizaciones que usan Orion de SolarWinds. En la intersección de ambos están las organizaciones ubicadas en los países ya mencionados y que sabemos son vulnerables también a infiltraciones pero que no hay ninguna confirmación ni evidencia al respecto. ¿Sería importante que alguien de seguimiento para saber qué organizaciones en México son vulnerables y poder preguntar directamente a sus responsables de Relaciones Públicas si han hecho alguna tarea de respuesta a incidentes o threat hunting? Si, ¡Claro! Pero parece que nadie quiere investigar más detalles una vez que tiene el titular que genere clics y tráfico hacia su sitio.
Otro caso de desinformación. Más precisamente, aseveraciones infladas y alarmistas:
Una nota publicada en ABC News cita a expertos (y es importante que a veces nombra qué experto hizo qué comentario, pero en otras muchas simplemente tira la palabra “experto” antes de una descripción inflamada) asegurando que no hay suficientes equipos con las credenciales suficientes para realizar el threat hunting en todas las organizaciones que han sido hackeadas. Me gustaría conocer los números que usaron en este cálculo así como saber quiénes son los “expertos” que aseguraron esto.
El mismo artículo de ABC cita a Bruce Schneider, un respetadisimo miembro de la comunidad de seguridad y criptografía con una frase que me parece de las más exageradas que he leído al respecto “tenemos que quemar las redes y reconstruirlas de cero”. El trabajo para descubrir la totalidad del ataque, contención, y recuperación de servicios no será fácil y tomará meses. Pero ataques de magnitudes significativas han sucedido en el pasado y no requirieron reconstruir todo desde cero. Piensen en Sony y el ataque que sufrió en 2011 mismo que provocó que durante 23 días la red de Playstation estuviera fuera de línea. Pero el servicio se restauró y creo que todos podemos coincidir que en 23 días es imposible construir una red “de cero”.
El propio Schneider hace una comparación que me parece más acertada: “imagina que vives en una mansión y tienes la certeza de que un asesino en serie está ahí.” OK, ok. Primero lo obvio. Creo que Schneider ha usado demasiaaaaaaaado tiempo jugando Among US durante el confinamiento. Segundo, esta comparación es más apropiada si la extendemos todavía con más hechos sobre una red infiltrada por hackers: es una mansión que TU construiste, que tú has habitado por años. ¡Claro! Es una mansión vieja, que probablemente ha cambiado en los últimos años y los cambios no han sido perfectamente documentados en los planos… ¡pero aún así tienes los planos! Conoces todos los rincones y nadie está diciendo que encontrar al asesino será fácil o una tarea que lograrás en un par de días, sobre todo porque todos sabemos que el asesino fue campeón jugando a las escondidillas toda la primaria. Aún en ese escenario, ¡llamas a la policía y no descansas hasta encontrarlo y en ningún caso quemas la casa!
Por último, la atribución. Todos los reportes sobre el ataque están 99% ciertos que Rusia estuvo detrás del backdoor insertado en Orion, todos menos uno. El Presidente de los Estados Unidos dejó abierta la puerta a que el atacante fuera realmente China. Y esta afirmación encaja perfectamente en la sección de desinformación porque su existencia parece más bien un lamentable intento de Trump por atar el tema del ciberataque con sus payasadas y berrinches sobre el resultado de la elección de noviembre que perdió. Y esto lo busca afirmando que una de las acciones que buscaban los hackers era poder cambiar votos quitandoselos a él y dandoselos a Biden. Un absurdo que solo pudo salir de la boca y haber sido fabricado en la mente de un absurdo personaje y que sólo puede ser considerado como cierto en las absurdas mentes de QANON.
Referencias:
https://abcnews.go.com/Business/wireStory/hacked-networks-burned-ground-74812106
https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/
https://www.cnet.com/news/fireeye-hack-cybersecurity-firm-says-nation-state-stole-attacking-tools/
https://news.yahoo.com/massive-cyberattack-grows-beyond-us-160222029.html?guccounter=1
https://dev.to/k0p1/update-fireeye-hacked-red-team-tools-leaked-8c1
https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html
