SUIZA (BLOOMBERG) – Una empresa suiza de ciberseguridad afirma haber accedido a servidores utilizados por un grupo de piratas informáticos vinculados a la violación de SolarWinds, revelando detalles sobre a quién apuntaban los atacantes y cómo realizaron su operación.
Prodaft también dijo que los piratas informáticos continuaron su campaña a lo largo de este mes.
Los investigadores de Prodaft dijeron que pudieron irrumpir en la infraestructura informática de los piratas informáticos y analizar la evidencia de una campaña masiva entre agosto y marzo, dirigida a miles de empresas y organizaciones gubernamentales en Europa y Estados Unidos. El objetivo del grupo de hackers, apodado SilverFish por los investigadores, era espiar a las víctimas y robar datos, según el informe de Prodaft.
SilverFish llevó a cabo un ciberataque “extremadamente sofisticado” en al menos 4.720 objetivos, incluidas instituciones gubernamentales, proveedores de TI globales, decenas de instituciones bancarias en los Estados Unidos y la Unión Europea, importantes empresas de auditoría y consultoría, una de las principales Covid-19 prueba a los fabricantes de equipos del mundo y a las empresas de aviación y defensa, según el informe.
Los piratas informáticos utilizaron otros métodos para atacar a sus víctimas, además de explotar la vulnerabilidad del software SolarWinds, según los investigadores.
Los investigadores no atribuyen los ataques a una organización o país de hackers conocidos, aunque describen a SilverFish como un “grupo APT”. APT significa amenaza persistente avanzada y los grupos de APT a menudo se asocian con organizaciones de piratas informáticos respaldadas por el estado.
Los investigadores de Prodaft dijeron en una entrevista que los piratas informáticos llevan algunas marcas de un grupo patrocinado por el estado, lo que incluye no estar motivados por el dinero y apuntar a la infraestructura crítica. Pero dijeron que se necesita más análisis para tomar una determinación definitiva.
Como resultado, no está claro en el informe si SilverFish es una organización de piratas informáticos vinculada al gobierno ruso, que el gobierno de EE. UU. Y otras empresas de ciberseguridad afirman estar detrás del ataque SolarWinds, o si alguna otra organización también ha participado. El ataque cibernético, lanzado en diciembre, involucró a piratas informáticos que insertaron código malicioso en actualizaciones de software populares de SolarWinds con sede en Texas.
Aproximadamente 18.000 clientes de SolarWinds recibieron la actualización maliciosa, pero muchos menos fueron atacados por piratas informáticos para infiltraciones adicionales. Se han identificado alrededor de 100 empresas del sector privado y nueve agencias gubernamentales de Estados Unidos, según la Casa Blanca.
Funcionarios suizos de seguridad cibernética dijeron que estaban en contacto con Prodaft, pero declinaron comentar sobre la información intercambiada “por razones de seguridad”. El FBI se negó a comentar sobre el informe, mientras que SolarWinds no respondió a una solicitud de comentarios.
El informe fue recibido con cierto escepticismo entre los investigadores de ciberseguridad en los Estados Unidos, que tienen pocas dudas de que el ataque fue puramente una operación de espionaje de la Federación de Rusia, aunque se negaron a criticar públicamente el informe. Microsoft indicó en diciembre que un segundo atacante podría haber jugado un papel en la explotación de SolarWinds.
Los investigadores de la firma de investigación cibernética Malwarebytes describieron los hallazgos de Prodaft como “sólidos”. “Esperábamos descubrir más infracciones tras el lanzamiento de SolarWinds a fines del año pasado y sabíamos que lo más probable es que varios grupos de amenazas diferentes se aprovecharan de este ataque sin precedentes en la cadena de suministro”, dijo Marcin Kleczynski, CEO y cofundador de Malwarebytes. Dijo que el descubrimiento de SilverFish refuerza la idea de que más de un grupo ha explorado SolarWinds.
No se sabe si las 4.720 organizaciones que, según Prodaft, fueron “comprometidas” por SilverFish, simplemente recibieron la actualización maliciosa de SolarWinds o fueron el objetivo de nuevos ataques de piratas informáticos. Los investigadores dijeron que no pudieron lograr este nivel de visibilidad de las acciones del atacante.
Sin embargo, el informe ofrece información sobre cómo operaba la organización de piratas informáticos.
Los piratas informáticos de SilverFish mantuvieron un horario de trabajo regular y estuvieron más activos de lunes a viernes entre las 8 am y las 8 pm, según el informe. Los piratas informáticos operaban servidores en Rusia y Ucrania, y compartían algunos de los mismos servidores con un notorio grupo criminal ruso de piratas informáticos conocido como Evil Corp, según el informe.
Prodaft dijo que los piratas informáticos eran “un grupo de ciberespionaje extremadamente bien organizado” con cuatro equipos llamados 301, 302, 303 y 304 responsables de piratear las computadoras de sus víctimas. Los piratas informáticos han puesto énfasis en apuntar a gobiernos y grandes corporaciones, como las compañías Fortune 500, según el informe.
El grupo SilverFish decidió no perseguir los ataques a las víctimas de países como Rusia, Ucrania, Georgia y Uzbekistán, según el informe. Estados Unidos fue, con mucho, la región más frecuentemente atacada por piratas informáticos, con 2.465 ataques registrados, seguido de los estados europeos, con 1.466 víctimas de Italia, Países Bajos, Dinamarca, Austria, Francia y Gran Bretaña.
Los piratas informáticos escribieron comentarios “en jerga rusa y vernácula”, mientras que el inglés fue el otro idioma principal utilizado. El código fuente también contenía números de identificación y apodos, incluidos “nuevo hacker”, “cyberbro netsupport” y “walter”, para 14 personas que probablemente trabajaron bajo la supervisión de cuatro equipos, según el informe.
“Lo que quizás sea más sorprendente de este informe es la profesionalidad altamente organizada del actor de amenazas”, dijo Rik Ferguson, vicepresidente de investigación de seguridad de la firma de ciberseguridad Trend Micro y asesor especial de Europol, la agencia policial de la UE, quien revisó el informe. . Dijo que estaba claro que los piratas informáticos estaban altamente calificados, bien financiados y operaban con una sesión informativa de misión claramente definida.
La participación de Prodaft comenzó en diciembre, después de que un cliente se vio comprometido como parte de la violación de SolarWinds. Los investigadores buscaron en Internet otros servidores utilizando la misma huella digital única utilizada en el ataque y encontraron alrededor de una docena de máquinas utilizadas por los atacantes.
Entre ellos, Prodaft encontró lo que se conoce como servidores de “comando y control”, plataformas configuradas y utilizadas por los atacantes para monitorear y enviar comandos a las víctimas infectadas. Prodaft identificó fallas de seguridad en la configuración de los dos servidores y obtuvo acceso a ellos.
Los investigadores encontraron listas de organizaciones comprometidas, junto con evidencia que indica que el grupo de piratas informáticos había estado apuntando activamente a sus víctimas desde agosto del año pasado. SilverFish estuvo tranquilo a fines de noviembre, según el informe de Prodaft, pero regresó en enero para reanudar las operaciones. En lo que los investigadores describieron como uno de los hallazgos más impactantes, los atacantes crearon un panel web para probar sus cargas útiles maliciosas en los dispositivos de las víctimas, probando si los productos antivirus o de búsqueda de amenazas señalarían sus actividades.
Prodaft, que significa Defensa proactiva contra las amenazas del futuro, se fundó en 2012 y tiene su sede en Yverdon-les-Bains, Suiza.