- Technology
- SEE MORE
- classical
- general
- talk
- News
- Family
- Bürgerfunk
- pop
- Islam
- soul
- jazz
- Comedy
- humor
- wissenschaft
- opera
- baroque
- gesellschaft
- theater
- Local
- alternative
- electro
- rock
- rap
- lifestyle
- Music
- como
- RNE
- ballads
- greek
- Buddhism
- deportes
- christian
- piano
- djs
- Dance
- dutch
- flamenco
- social
- hope
- christian rock
- academia
- afrique
- Business
- musique
- ελληνική-μουσική
- religion
- World radio
- Zarzuela
- travel
- World
- NFL
- media
- Art
- public
- Sports
- Gospel
- st.
- baptist
- Leisure
- Kids & Family
- musical
- club
- Culture
- Health & Fitness
- True Crime
- Fiction
- children
- Society & Culture
- TV & Film
- gold
- kunst
- música
- gay
- Natural
- a
- francais
- bach
- economics
- kultur
- evangelical
- tech
- Opinion
- Government
- gaming
- College
- technik
- History
- Jesus
- Health
- movies
- radio
- services
- Church
- podcast
- Education
- international
- Transportation
- Other
- kids
- podcasts
- philadelphia
- Noticias
- love
- sport
- Salud
- film
- and
- 4chan
- Disco
- Stories
- fashion
- Arts
- interviews
- hardstyle
- entertainment
- humour
- medieval
- literature
- alma
- Cultura
- video
- TV
- Science
- en
Hackean a Solarwinds y de Paso a cientos de organizaciones.
La industria y medios especializados en seguridad están volcados sobre el tema predilecto para todos. Y en mi opinión, tienen razón para hacerlo. Solarwinds fue vulnerada no con el objetivo de instalar ransomware a lo largo y ancho de su red ni para filtrar el código de sus múltiples herramientas para el monitoreo de activos digitales. La razón de atacar a Solarwinds fue usarlos como trampolín en lo que es un gran caso de estudio para entender los ataques a la cadena de suministro. Un poco de contexto: Solarwinds es una empresa cuyo negocio se localiza en la misma industria que hoy los tiene a flor de piel. Son un desarrollador de software para la administración de Tecnologías de la Información y herramientas de monitoreo remoto. Según su propia página: ¿En qué consistió el ataque? El ataque, que la inmensa mayoría de los reportes atribuyen a Cozy Bear (más sobre ellos en un momento), consistió en comprometer a tal grado la red de solarwinds que permitió a los atacantes modificar las imágenes de su software ubicadas en su repositorio de updates. La modificación introduce un backdoor que los atacantes pueden utilizar para infiltrarse en las redes de aquellas organizaciones que utilicen el software de Solarwinds. A pesar de que Solarwinds dice tener 300,000 clientes en todo el mundo, sólo uno de sus tantos productos fue afectado. El software en cuestión es Orion y de todas formas es utilizado por unas 18,000 organizaciones a nivel mundial, entre ellas varias agencias gubernamentales en Estados Unidos. Y son precisamente estas agencias las que más han reportado que han sido infiltradas mediante el backdoor que se implantó en Orion de Solarwinds. Este hecho reafirma aún más la posibilidad de que el ataque haya sido perpetrado por Cozy Bear, les explico porqué: Cozy Bear, también conocido como APT29, es un grupo de hackers con estrechos lazos con las agencias de inteligencia rusas. Y el hecho de que de 18,000 posibles víctimas la inmensa mayoría sean agencias gubernamentales en Estados Unidos hace indicar que todo el esquema fue orquestado por un Estado. El verdadero dolor de cabeza de este ataque, y en general de todos los ataques que involucran la cadena de suministro es que las 18,000 empresas que están vulnerables no hicieron absolutamente nada malo y hasta el momento que Solarwinds publicó una nueva actualización no tenían razón para sentirse inseguras. Las actualizaciones que aplicaron vienen del servidor del desarrollador de software. El software tiene una firma digital válida (sí, esto quiere decir que incluso el backdoor está firmado). Básicamente fueron comprometidas por seguir las recomendaciones básicas de cómo aplicar un parche o descargar una nueva versión de un producto que adquirieron. ¿Qué hacer? Si tu organización utiliza Orion de Solarwinds, el primer paso que debes dar es verificar qué versión utilizas. No todas las versiones de Orion fueron comprometidas así que todavía tienes algunas probabilidades a tu favor. Si la versión que estás utilizando se encuentra entre las modificadas por Cozy Bear debes hacer dos cosas lo más pronto posible: Descarga la versión que el vendor anunció hoy y que definitivamente no contiene el mentado backdoor. Realiza una investigación en tu red. La intrusión pudo haber estado presente por días y por lo tanto haber conseguido movimientos laterales a lo largo y ancho de tu red. Se sabe que el adversario detrás de este ataque utiliza Cobalt Strike para esconder su presencia y continuar sus actividades maliciosas. Deberías realizar un threat hunt buscando todos los IoC’s conocidos para Cobalt Strike. Si tu organización no utiliza el software de Solarwinds pero contrató los servicios de un proveedor de servicios tipo SOC o NOC pregunta si ellos lo usan. Las probabilidades de que la respuesta sea afirmativa son altas. Trabaja con ellos para conocer cómo están remediando el uso de esta herramienta y también para establecer mecanismos de contención mientras lo hacen. Desafortunadamente también tendrás que realizar la búsqueda de Cobalt Strike en tu red como si tuvieras Orion en tu infraestructura. Así que si los constantes titulares y menciones a SolarWinds te tomaron desprevenido y no sabías su razón de ser, ahora sabes. Alguno de tus conocidos o colegas puede tener sus dudas o preguntas al respecto te invito a que compartas este podcast y que te suscribas para que siempre sepas cuando publico nuevos episodios.