El peligroso troyano Sunburst, se cree que está vinculado a un grupo de piratas informáticos ruso, ha sido detenido por un interruptor de apagado conjunto ideado por un equipo de especialistas de Microsoft, Ve papi, y FireEye. Esto se informó en la comunidad de seguridad después de la intrusión de la semana pasada en SolarWinds, una empresa de software empresarial.
Por qué era necesario detener el troyano Sunburst
Se dispuso de mucha información sobre el troyano Sunburst después de que se utilizara en un ataque de intrusión la semana pasada contra SolarWinds.. Se informó que el incidente de seguridad contra la empresa se realizó a través de su propia aplicación llamada Orión. Lo que sabemos es que es posible que el conocido grupo de piratería ruso llamado APT29 (alternativamente conocido como “Oso acogedor”) está detrás de eso. Si bien esto no está confirmado, es una de las posibilidades probables.
Esta noticia “rompió” de un artículo en The Washington Post afirmando que el grupo ruso está detrás de una campaña de espionaje dirigida a agencias pertenecientes al gobierno de EE. UU.. Si bien el periódico no menciona explícitamente sus fuentes, Esto ha provocado bastante investigación al respecto..
Según la información publicada, Los delincuentes de este colectivo de hackers pudieron infiltrarse en los sistemas de correo electrónico de las agencias utilizando un paquete malicioso que es una versión modificada del programa SolarWinds Orion.. Aparentemente, los criminales estaban usando actualizaciones infectadas con malware a las redes objetivo. El vector de ataque es posible que sean los sistemas de correo electrónico., se sospecha que las agencias están utilizando una red de servicios basada en la nube. Esto brinda la posibilidad de infectar muchos dispositivos a la vez..
Orion by SolarWinds es en realidad una plataforma compleja que brinda a los administradores de red la capacidad de rastrear y medir su infraestructura y las instalaciones de software compatibles.. Este conjunto de programas y soluciones probablemente lo utilicen muchos usuarios empresariales y grandes corporaciones., esto muestra la gravedad de la situación. De acuerdo a la información Los propios SolarWinds alertaron a sus clientes, pero solo aproximadamente la mitad de ellos han obtenido los paquetes infectados por troyanos.
El principal método de infiltración es la distribución de estos actualizaciones de Orion maliciosas — esto es posible secuestrando un servidor propiedad de la empresa o usando una vulnerabilidad en la aplicación para activar la entrega de los paquetes infectados con virus. El troyano Sunburst es una puerta trasera sofisticada que está diseñada para secuestrar los datos del usuario e instalarse en las computadoras comprometidas..
Capacidades del troyano Sunburst
Gracias a la muestra capturada del troyano podemos dar una descripción detallada de sus capacidades.. Fueron analizados en un entorno especial y permiten a los investigadores de seguridad verificar qué hace exactamente en las máquinas comprometidas.. De los resultados del análisis, es evidente que el troyano puede haberse utilizado desde marzo 2020.
El troyano Sunburst como representante típico de este tipo de categoría de malware se esconderá profundamente en los sistemas.. En parte debido a su distribución, se puede programar para ejecutar una amplia gama de acciones peligrosas., incluida la reconfiguración del sistema. Incluye un mecanismo diseñado para omitir la detección de seguridad comenzando con un gran retraso. Esto supera los filtros típicos utilizados por los programas antivirus que presumen que las infecciones por virus ocurren inmediatamente después de que la amenaza relevante se ha implementado en un sistema determinado.. Algunas de las capacidades señaladas de los archivos troyanos son las siguientes:
- La recolección de datos — El malware puede recopilar varios tipos de información automáticamente, dependiendo de como estén programados. Esto puede incluir información personal del usuario que se puede utilizar para diferentes tipos de fines delictivos.: chantaje, extorsión, y robo de identidad. Esto se puede extender a la información del sistema., se puede extraer una amplia gama de datos: desde los valores del entorno del sistema operativo individual hasta los dispositivos de hardware utilizados. Se puede utilizar un algoritmo especial para crear un identificador único basado en la información recopilada.
- Registro de Cambios de Windows — Si se modifica algún valor del Registro, los usuarios pueden experimentar problemas de rendimiento., la incapacidad de ejecutar ciertos servicios, e incluso pérdida de datos.
- La eliminación archivos — Mediante la ejecución del troyano, puede eliminar archivos importantes, como copias de seguridad y instantáneas de volumen.. Si manipula los archivos del sistema operativo, esto puede provocar más problemas al intentar la recuperación.
- Entrega malware adicional — Dado que este virus se instala mediante un método sofisticado, los piratas informáticos pueden incluir otras amenazas, incluyendo ransomware.
El troyano Sunburst ha detectado muchos mecanismos avanzados que forman parte del patrón de comportamiento avanzado típico — puede rastrear y deshabilitar los motores del software de seguridad instalado, manipular el tráfico de la red, y etc. Dadas las circunstancias de su despliegue, los objetivos comprometidos, y el alto nivel de sofisticación, podemos deducir que el grupo de piratería probablemente lo esté usando para vigilancia detallada.
Troyano Sunburst detenido por Kill Switch diseñado por el equipo conjunto de GoDaddy, Microsoft y FireEye
Tras el descubrimiento del malware y dada la gravedad de la situación, un equipo conjunto de expertos ha ideado un interruptor de interrupción para evitar que el malware se propague más.. Expertos de Microsoft, Ve papi, y FireEye detectó que un solo dominio controlado por piratas informáticos está operando el servicio principal de comando y control. El troyano funciona enmascarando el tráfico de la red y analizando los flujos de la red, se pueden establecer conexiones activas.. Los comandos maliciosos se envían en un formato especial, se les conoce como “trabajos”. Se admiten todo tipo de opciones, incluida la transferencia de archivos, deshabilitar los servicios del sistema, recopilar información, y así.
Este troyano también propaga parte de su tráfico a través de redes privadas virtuales en un intento de ocultar su presencia en las redes comprometidas. El kill switch creado por tres empresas ha permitido detectar y cerrar la actividad delictiva del ataque actual.
El interruptor de interrupción desactivará nuevas infecciones y también bloqueará la ejecución de las anteriores al detener la actividad en el dominio.. Sin embargo, esto no eliminará las instalaciones de agentes activos u otro malware que se haya implementado a través de él. Por esta razón, Se recomienda un análisis de virus profundo y activo para todas las computadoras y redes de la empresa..