SlideShare a Scribd company logo

El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova

J
Javier Junquera

El día 8 de diciembre la compañía de ciberseguridad FireEye comunica haber sufrido un incidente en el que se han visto expuestas sus herramientas de RedTeam. Sólo unos días más tarde, tras investigarlo, detectan que el origen de este incidente se encuentra en Orion, el software (propiedad de la compañía SolarWinds) que utilizan para monitorizar sus sistemas. El software que utilizan para monitorizar sus sistemas más de 30.000 compañías entre las que se encuentran desde grandes tecnológicas hasta agencias de seguridad estadounidenses. A lo largo de la sesión se analizaran las causas, los detalles técnicos y las consecuencias de uno de los incidentes de ciberseguridad con mayor impacto de la historia: el Solorigate.

Technology
1 of 20
Download to read offline
Solorigate | javier@junquera.io (UNIR 2021) | 1 Solorigate De SUNBURST a Supernova
Solorigate | javier@junquera.io (UNIR 2021) | 2 https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
Solorigate | javier@junquera.io (UNIR 2021) | 3 https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
Solorigate | javier@junquera.io (UNIR 2021) | 4 Introducción SolarWinds es una empresa dedicada a la creación de software para la administración de activos TIC: ● Orion es un producto de inventariado y gestión de sistemas en red ● En diciembre de 2020 se detecta un incidente de seguridad en Orion: ○ Conocido como SUNBURST (FireEye) o Solorigate (MS)
Solorigate | javier@junquera.io (UNIR 2021) | 5 Solorigate ENE 2021 Aparece una nueva amenaza conocida como Supernova 13 DIC 2020 FireEye atribuye a backdoor en el software Orion: SUNBURST 8 DIC 2020 FireEye detecta acceso a sus herramientas de Red Team
Solorigate | javier@junquera.io (UNIR 2021) | 6 ¿Qué es la supply chain? Sunspot Penetración en SolarWinds, en septiembre de 2019 SEP 19 - FEB 20 Atacantes analizan funcionamiento de Orion: forma de trabajar, protocolos de comunicación, formato del código, etc. SUNBURST Creación e instalación de puerta trasera en Orion (SolarWinds.Orion.Core .BusinessLayer.dll) TEARDROP Actuación del código malicioso en las organizaciones. MAR 20 → MAR 20 (+1) Actualización automática de software de clientes. Infección con software firmado.
Solorigate | javier@junquera.io (UNIR 2021) | 7 SUNBURST Una vez se activa SolarWinds.Orion.Core.BusinessLayer.dll (firmado con certificados legítimos de SolarWinds) se dispara el proceso de análisis: ● Permanece dormido (hasta 2 semanas) ● Verifica que está en una organización (AD) ○ Y que esta no es SolarWinds ● Duerme X tiempo ● Comienza a comunicarse con su C2 ○ Lo “busca” generando subdominios pseudo-aleatorios ○ Imita el protocolo de Orion ● Si es un entorno convincente, inicia la fase 2
Solorigate | javier@junquera.io (UNIR 2021) | 8 TEARDROP Una vez desplegado SUNBURST, si el equipo infectado forma parte de los objetivos del malware, entra en juego TEARDROP: ● TEARDROP es un dropper que inyecta en memoria una beacon de Cobalt Strike, para permitir el control remoto de la máquina ● Symantec detecta una variante conocida como Raindrop Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html
Solorigate | javier@junquera.io (UNIR 2021) | 9 Impacto A finales de diciembre de 2020 SolarWinds retira la página de clientes, pero se puede recuperar a través de cachés como Internet Wayback Machine. SolarWinds’ Customers. Recuperado el 14 de diciembre de 2020. https://www.solarwinds.com/company/customers
Solorigate | javier@junquera.io (UNIR 2021) | 10 > 18.000 compañías afectadas por SUNBURST (Tarasco & Merino, 2021)
Solorigate | javier@junquera.io (UNIR 2021) | 11 Impacto Se ha llegado a comparar, en EE.UU., con un Pearl Harbour o un 11S digital1 . Algunos de sus principales clientes: ● Organismos públicos Oficina del Presidente de los EE.UU., Departamento de Defensa de EE.UU., NASA, NSA ● Organizaciones privadas Microsoft, Visa, Mastercard, AT&T, Yahoo!; etc. 1 (Recorded Future, 2021)
Solorigate | javier@junquera.io (UNIR 2021) | 12 Impacto Todavía quedan incógnitas acerca del impacto: ● Clientes internacionales Enrique de la Hoz en Twitter. (2020, diciembre 15). Twitter. https://twitter.com/edelahozuah/status/1338880212914855939
Solorigate | javier@junquera.io (UNIR 2021) | 13 Impacto Todavía quedan incógnitas acerca del impacto: ● Daños colaterales Organización X Cliente de SolarWinds Organización Y Cliente de organización X (e ignora que existe SolarWinds) SolarWinds Supply chain comprometida
Solorigate | javier@junquera.io (UNIR 2021) | 14 Reacciones FireEye ● Trabajo activo en publicación de IOCs, tanto de SUNBURST, como relacionados con sus herramientas de Red Team (robadas) SolarWinds ● Revoca certificados antiguos de software, e inicia una nueva estrategia de seguridad NIST ● Desarrollo de guía de buenas prácticas en gestión de supply chain
Solorigate | javier@junquera.io (UNIR 2021) | 15 Atribuciones vx-underground. (2020, diciembre 20). https://mobile.twitter.com/vxunderground/status/1340477486078054401 Se pasa a conocer como DarkHalo al grupo criminal detrás de SUNBURST. EE.UU. atribuye SUNBURST a Rusia: ● Puede que la puerta trasera se introdujese en un desarrollo en Europa del este ● DarkHalo podría estar relacionado con Turla (Rusia) o APT41 (China)
Solorigate | javier@junquera.io (UNIR 2021) | 16 Pero esto no termina aquí… Durante el mes de enero de 2021 se detecta una segunda amenaza en el software de SolarWinds: ● COSMICGALE Desde la red privada del cliente, aprovechando una vulnerabilidad de Orion ejecuta scripts de infección escritos en PowerShell ● Supernova Webshell introducida en app_web_logoimagehandler.ashx.b6031896.dll (personalización de logo de la empresa en la plataforma Orion), a través de COSMICGALE
Solorigate | javier@junquera.io (UNIR 2021) | 17 Ya no estamos hablando de una backdoor como tal Parte de una vulnerabilidad, y el código desplegado no está firmad Atribuído a un segundo actor, diferente de DarkHalo. Especulaciones alrededor de Corea del Norte Supernova
Solorigate | javier@junquera.io (UNIR 2021) | 18 Conclusiones ● Instalar IOC generados por FireEye en sistemas de detección ○ Herramientas de Red Team (https://github.com/fireeye/red_team_tool_countermeasures) ○ Análisis de SUNBURST (https://github.com/fireeye/sunburst_countermeasures) ● Desarrollo de capacidades analíticas y de respuesta ● Toma de conciencia acerca del rol que juegan proveedores y terceros en el riesgo de la organización ● Aunque no es el mejor ejemplo… ¡actualizar los sistemas!
Solorigate | javier@junquera.io (UNIR 2021) | 19 Referencias Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers. (2020, diciembre 18). Microsoft Security. https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-d efender-helps-protect/ Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html Boyens, J., Paulsen, C., Bartol, N., Winkler, K., & Gimbi, J. (2021). Key Practices in Cyber Supply Chain Risk Management: Observations from Industry (NIST Internal or Interagency Report (NISTIR) 8276). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.IR.8276 Davis, M. J., Charles. (s. f.). These big firms and US agencies all use software from the company breached in a massive hack being blamed on Russia. Business Insider. Recuperado 16 de febrero de 2021, de https://www.businessinsider.com/list-of-companies-agencies-at-risk-after-solarwinds-hack-2020-12 Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop. (2021, enero 20). Microsoft Security. https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
Solorigate | javier@junquera.io (UNIR 2021) | 20 Referencias SolarWinds | Understanding & Detecting the SUPERNOVA Webshell Trojan. (2020, diciembre 23). SentinelLabs. https://labs.sentinelone.com/solarwinds-understanding-detecting-the-supernova-webshell-trojan/ SolarWinds Attribution: Are We Getting Ahead of Ourselves? (2020, diciembre 30). Recorded Future. https://www.recfut.com/solarwinds-attribution/ SolarWinds Orion Breach—What It Means for the Industry Writ Large. (2021, enero 11). Recorded Future. https://www.recfut.com/podcast-episode-191/ Tarasco, A., & Merino, B. (2021, enero 3). Solorigate: La mayor trama de espionaje de la historia. La Voz de Galicia. https://www.lavozdegalicia.es/noticia/mercados/2021/01/03/solorigate-mayor-trama-espionaje-historia/0003_202101SM3P7991.htm SUNBURST Additional Technical Details. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/sunburst-additional-technical-details.html SUNBURST Malware and SolarWinds Supply Chain Compromise. (2020, diciembre 16). McAfee Blogs. /blogs/other-blogs/mcafee-labs/sunburst-malware-and-solarwinds-supply-chain-compromise/ Team, C. I. (2021, enero 11). SUNSPOT Malware: A Technical Analysis | CrowdStrike. https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/

Recommended

Pasos para instalar windows 8
Pasos para instalar windows 8Pasos para instalar windows 8
Pasos para instalar windows 8Hëiinër Därk
 
Forensic Investigation of Android Operating System
Forensic Investigation of Android Operating SystemForensic Investigation of Android Operating System
Forensic Investigation of Android Operating Systemnishant24894
 
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)Priyanka Aash
 
Linux sunum
Linux sunumLinux sunum
Linux sunumOğuzhan TAŞ Akademi
 
Ubuntu - Sistemas Operativos
Ubuntu - Sistemas OperativosUbuntu - Sistemas Operativos
Ubuntu - Sistemas OperativosXavier Carrión
 
ISMS implementation challenges-KASYS
ISMS implementation challenges-KASYSISMS implementation challenges-KASYS
ISMS implementation challenges-KASYSReza Teynia ISMS, ITSM, MSc
 
Linux Open SuSE
Linux Open SuSELinux Open SuSE
Linux Open SuSEYessenia I. Martínez M.
 
Software piracy
Software piracySoftware piracy
Software piracyTi-Sun
 

Recommended

Pasos para instalar windows 8
Pasos para instalar windows 8Pasos para instalar windows 8
Pasos para instalar windows 8Hëiinër Därk
 
Forensic Investigation of Android Operating System
Forensic Investigation of Android Operating SystemForensic Investigation of Android Operating System
Forensic Investigation of Android Operating Systemnishant24894
 
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)Priyanka Aash
 
Linux sunum
Linux sunumLinux sunum
Linux sunumOğuzhan TAŞ Akademi
 
Ubuntu - Sistemas Operativos
Ubuntu - Sistemas OperativosUbuntu - Sistemas Operativos
Ubuntu - Sistemas OperativosXavier Carrión
 
ISMS implementation challenges-KASYS
ISMS implementation challenges-KASYSISMS implementation challenges-KASYS
ISMS implementation challenges-KASYSReza Teynia ISMS, ITSM, MSc
 
Linux Open SuSE
Linux Open SuSELinux Open SuSE
Linux Open SuSEYessenia I. Martínez M.
 
Software piracy
Software piracySoftware piracy
Software piracyTi-Sun
 
Presentación de Ubuntu GNU/Linux
Presentación de Ubuntu GNU/LinuxPresentación de Ubuntu GNU/Linux
Presentación de Ubuntu GNU/LinuxCarlos Antonio Leal Saballos
 
CompTIA Security+ Guide
CompTIA Security+ GuideCompTIA Security+ Guide
CompTIA Security+ GuideSmithjulia33
 
Evolución de los sistemas operativos.
Evolución de los sistemas operativos.Evolución de los sistemas operativos.
Evolución de los sistemas operativos.yleesmilee
 
Malware Presentacion.pptx
Malware Presentacion.pptxMalware Presentacion.pptx
Malware Presentacion.pptxSantiagoRuizRodrguez1
 
Cybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdf
Cybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdfCybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdf
Cybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdfssuser7b150d
 
An Introduction to Free and Open Source Software Licensing and Business Models
An Introduction to Free and Open Source Software Licensing and Business ModelsAn Introduction to Free and Open Source Software Licensing and Business Models
An Introduction to Free and Open Source Software Licensing and Business ModelsGreat Wide Open
 
encase enterprise
encase enterprise encase enterprise
encase enterprise Damir Delija
 
Cyber Security Seminar.pptx
Cyber Security Seminar.pptxCyber Security Seminar.pptx
Cyber Security Seminar.pptxDESTROYER39
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 BenefitsDejan Kosutic
 
Evolución de linux
Evolución de linuxEvolución de linux
Evolución de linuxOmarIsraellPB
 
NQA ISO 27001 27017 27018 27701 Mapping
NQA ISO 27001 27017 27018 27701 MappingNQA ISO 27001 27017 27018 27701 Mapping
NQA ISO 27001 27017 27018 27701 MappingNQA
 
Operating Systems: Computer Security
Operating Systems: Computer SecurityOperating Systems: Computer Security
Operating Systems: Computer SecurityDamian T. Gordon
 
Integrating Cybersecurity into Supply Chain Risk Management
Integrating Cybersecurity into Supply Chain Risk ManagementIntegrating Cybersecurity into Supply Chain Risk Management
Integrating Cybersecurity into Supply Chain Risk ManagementPriyanka Aash
 
ISO 27001
ISO 27001ISO 27001
ISO 27001n|u - The Open Security Community
 
Introduccion a linux
Introduccion a linuxIntroduccion a linux
Introduccion a linuxRicardo Sosa
 
2022 November Patch Tuesday
2022 November Patch Tuesday2022 November Patch Tuesday
2022 November Patch TuesdayIvanti
 
The Stuxnet Virus FINAL
The Stuxnet Virus FINALThe Stuxnet Virus FINAL
The Stuxnet Virus FINALNicholas Poole
 
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam Donald E. Hester
 
Puertos utilizados por Kaspersky Security Center.pdf
Puertos utilizados por Kaspersky Security Center.pdfPuertos utilizados por Kaspersky Security Center.pdf
Puertos utilizados por Kaspersky Security Center.pdfdiegodulantoramos1
 
Presentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMPresentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMShantanu Rai
 
Seguridad en Android
Seguridad en AndroidSeguridad en Android
Seguridad en AndroidDavid Albela Pérez
 
Cibernews.pptx
Cibernews.pptxCibernews.pptx
Cibernews.pptxCristinaVidal40
 

More Related Content

What's hot

CompTIA Security+ Guide
CompTIA Security+ GuideCompTIA Security+ Guide
CompTIA Security+ GuideSmithjulia33
 
Evolución de los sistemas operativos.
Evolución de los sistemas operativos.Evolución de los sistemas operativos.
Evolución de los sistemas operativos.yleesmilee
 
Cybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdf
Cybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdfCybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdf
Cybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdfssuser7b150d
 
An Introduction to Free and Open Source Software Licensing and Business Models
An Introduction to Free and Open Source Software Licensing and Business ModelsAn Introduction to Free and Open Source Software Licensing and Business Models
An Introduction to Free and Open Source Software Licensing and Business ModelsGreat Wide Open
 
Cyber Security Seminar.pptx
Cyber Security Seminar.pptxCyber Security Seminar.pptx
Cyber Security Seminar.pptxDESTROYER39
 
NQA ISO 27001 27017 27018 27701 Mapping
NQA ISO 27001 27017 27018 27701 MappingNQA ISO 27001 27017 27018 27701 Mapping
NQA ISO 27001 27017 27018 27701 MappingNQA
 
Operating Systems: Computer Security
Operating Systems: Computer SecurityOperating Systems: Computer Security
Operating Systems: Computer SecurityDamian T. Gordon
 
Integrating Cybersecurity into Supply Chain Risk Management
Integrating Cybersecurity into Supply Chain Risk ManagementIntegrating Cybersecurity into Supply Chain Risk Management
Integrating Cybersecurity into Supply Chain Risk ManagementPriyanka Aash
 
Introduccion a linux
Introduccion a linuxIntroduccion a linux
Introduccion a linuxRicardo Sosa
 
2022 November Patch Tuesday
2022 November Patch Tuesday2022 November Patch Tuesday
2022 November Patch TuesdayIvanti
 
The Stuxnet Virus FINAL
The Stuxnet Virus FINALThe Stuxnet Virus FINAL
The Stuxnet Virus FINALNicholas Poole
 
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam Donald E. Hester
 
Puertos utilizados por Kaspersky Security Center.pdf
Puertos utilizados por Kaspersky Security Center.pdfPuertos utilizados por Kaspersky Security Center.pdf
Puertos utilizados por Kaspersky Security Center.pdfdiegodulantoramos1
 
Presentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMPresentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMShantanu Rai
 

What's hot (20)

Presentación de Ubuntu GNU/Linux
Presentación de Ubuntu GNU/LinuxPresentación de Ubuntu GNU/Linux
Presentación de Ubuntu GNU/Linux
 
CompTIA Security+ Guide
CompTIA Security+ GuideCompTIA Security+ Guide
CompTIA Security+ Guide
 
Evolución de los sistemas operativos.
Evolución de los sistemas operativos.Evolución de los sistemas operativos.
Evolución de los sistemas operativos.
 
Malware Presentacion.pptx
Malware Presentacion.pptxMalware Presentacion.pptx
Malware Presentacion.pptx
 
Cybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdf
Cybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdfCybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdf
Cybersecurity Capability Maturity Model Self-Evaluation Report Jan 27 2023.pdf
 
An Introduction to Free and Open Source Software Licensing and Business Models
An Introduction to Free and Open Source Software Licensing and Business ModelsAn Introduction to Free and Open Source Software Licensing and Business Models
An Introduction to Free and Open Source Software Licensing and Business Models
 
encase enterprise
encase enterprise encase enterprise
encase enterprise
 
Cyber Security Seminar.pptx
Cyber Security Seminar.pptxCyber Security Seminar.pptx
Cyber Security Seminar.pptx
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 Benefits
 
Evolución de linux
Evolución de linuxEvolución de linux
Evolución de linux
 
NQA ISO 27001 27017 27018 27701 Mapping
NQA ISO 27001 27017 27018 27701 MappingNQA ISO 27001 27017 27018 27701 Mapping
NQA ISO 27001 27017 27018 27701 Mapping
 
Operating Systems: Computer Security
Operating Systems: Computer SecurityOperating Systems: Computer Security
Operating Systems: Computer Security
 
Integrating Cybersecurity into Supply Chain Risk Management
Integrating Cybersecurity into Supply Chain Risk ManagementIntegrating Cybersecurity into Supply Chain Risk Management
Integrating Cybersecurity into Supply Chain Risk Management
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Introduccion a linux
Introduccion a linuxIntroduccion a linux
Introduccion a linux
 
2022 November Patch Tuesday
2022 November Patch Tuesday2022 November Patch Tuesday
2022 November Patch Tuesday
 
The Stuxnet Virus FINAL
The Stuxnet Virus FINALThe Stuxnet Virus FINAL
The Stuxnet Virus FINAL
 
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
Understanding the Risk Management Framework & (ISC)2 CAP Module 1: Exam
 
Puertos utilizados por Kaspersky Security Center.pdf
Puertos utilizados por Kaspersky Security Center.pdfPuertos utilizados por Kaspersky Security Center.pdf
Puertos utilizados por Kaspersky Security Center.pdf
 
Presentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMPresentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCM
 

Similar to El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova

[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...ITS SECURITY
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasFernando Tricas García
 
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADADetección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADAEnrique Martin
 
Campaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de EnergíaCampaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de EnergíaItconic
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Ramiro Cid
 
Ciberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasCiberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasMateo Martinez
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterAsociación
 
Seguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesSeguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesJesús Moreno León
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochureschangan1
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
 
Conficker: Gestion de seguridad del siglo pasado
Conficker: Gestion de seguridad del siglo pasadoConficker: Gestion de seguridad del siglo pasado
Conficker: Gestion de seguridad del siglo pasadoIgnacio Sb
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesSecpro - Security Professionals
 
Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018ITSitio.com
 
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...Symantec LATAM
 

Similar to El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova (20)

Seguridad en Android
Seguridad en AndroidSeguridad en Android
Seguridad en Android
 
Cibernews.pptx
Cibernews.pptxCibernews.pptx
Cibernews.pptx
 
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
[ITS White Paper] Sistemas de Control Industrial (ICS). Principal objetivo d...
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
 
Smart Grids y ciberseguridad
Smart Grids y ciberseguridadSmart Grids y ciberseguridad
Smart Grids y ciberseguridad
 
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADADetección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
Detección de Dragonfly (Havex) mediante el uso de la solución SCAB for SCADA
 
Campaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de EnergíaCampaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de Energía
 
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
 
Ciberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - HidroeléctricasCiberseguridad industrial - Hidroeléctricas
Ciberseguridad industrial - Hidroeléctricas
 
Eset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 bEset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 b
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel Ballester
 
Seguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidadesSeguridad y Alta Disponibilidad: vulnerabilidades
Seguridad y Alta Disponibilidad: vulnerabilidades
 
2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure2014 Seguridad Cibernetica Inteligente Brochure
2014 Seguridad Cibernetica Inteligente Brochure
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
desafiosdelciberespacio.pdf
desafiosdelciberespacio.pdfdesafiosdelciberespacio.pdf
desafiosdelciberespacio.pdf
 
Conficker: Gestion de seguridad del siglo pasado
Conficker: Gestion de seguridad del siglo pasadoConficker: Gestion de seguridad del siglo pasado
Conficker: Gestion de seguridad del siglo pasado
 
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas EmergentesEstrategias de Ciberseguridad para enfrentar Amenzas Emergentes
Estrategias de Ciberseguridad para enfrentar Amenzas Emergentes
 
Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018Reporte anual de seguridad Cisco 2018
Reporte anual de seguridad Cisco 2018
 
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
Be Aware Webinar - Informe sobre las Amenazas a la Seguridad en Internet de 2...
 

More from Javier Junquera

Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
Don’t go breaking my heart: hacking medical devices (RootedCON 2023)Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
Don’t go breaking my heart: hacking medical devices (RootedCON 2023)Javier Junquera
 
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)Javier Junquera
 
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...Javier Junquera
 
The day I ruled the world (RootedCON 2020)
The day I ruled the world (RootedCON 2020)The day I ruled the world (RootedCON 2020)
The day I ruled the world (RootedCON 2020)Javier Junquera
 
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Javier Junquera
 
Tecnologías avanzadas de descubrimiento y análisis de la Dark Net
Tecnologías avanzadas de descubrimiento y análisis de la Dark NetTecnologías avanzadas de descubrimiento y análisis de la Dark Net
Tecnologías avanzadas de descubrimiento y análisis de la Dark NetJavier Junquera
 

More from Javier Junquera (7)

Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
Don’t go breaking my heart: hacking medical devices (RootedCON 2023)Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
Don’t go breaking my heart: hacking medical devices (RootedCON 2023)
 
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
Al-Kindi convirtió tu dataset en mi keylogger (RootedCON Criptored 2023)
 
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
De PARCHE a Vysion: construyendo un ecosistema CTI sobre la Darknet (RootedC...
 
The day I ruled the world (RootedCON 2020)
The day I ruled the world (RootedCON 2020)The day I ruled the world (RootedCON 2020)
The day I ruled the world (RootedCON 2020)
 
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
Conferencia Internet Society: El FBI El reabre el debate sobre backdoors y ci...
 
Password cracking
Password crackingPassword cracking
Password cracking
 
Tecnologías avanzadas de descubrimiento y análisis de la Dark Net
Tecnologías avanzadas de descubrimiento y análisis de la Dark NetTecnologías avanzadas de descubrimiento y análisis de la Dark Net
Tecnologías avanzadas de descubrimiento y análisis de la Dark Net
 

Recently uploaded

tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 

Recently uploaded (20)

tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 

El caso Solorigate: la exposición de SolarWinds, de SUNBURST a Supernova

  • 1. Solorigate | javier@junquera.io (UNIR 2021) | 1 Solorigate De SUNBURST a Supernova
  • 2. Solorigate | javier@junquera.io (UNIR 2021) | 2 https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
  • 3. Solorigate | javier@junquera.io (UNIR 2021) | 3 https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
  • 4. Solorigate | javier@junquera.io (UNIR 2021) | 4 Introducción SolarWinds es una empresa dedicada a la creación de software para la administración de activos TIC: ● Orion es un producto de inventariado y gestión de sistemas en red ● En diciembre de 2020 se detecta un incidente de seguridad en Orion: ○ Conocido como SUNBURST (FireEye) o Solorigate (MS)
  • 5. Solorigate | javier@junquera.io (UNIR 2021) | 5 Solorigate ENE 2021 Aparece una nueva amenaza conocida como Supernova 13 DIC 2020 FireEye atribuye a backdoor en el software Orion: SUNBURST 8 DIC 2020 FireEye detecta acceso a sus herramientas de Red Team
  • 6. Solorigate | javier@junquera.io (UNIR 2021) | 6 ¿Qué es la supply chain? Sunspot Penetración en SolarWinds, en septiembre de 2019 SEP 19 - FEB 20 Atacantes analizan funcionamiento de Orion: forma de trabajar, protocolos de comunicación, formato del código, etc. SUNBURST Creación e instalación de puerta trasera en Orion (SolarWinds.Orion.Core .BusinessLayer.dll) TEARDROP Actuación del código malicioso en las organizaciones. MAR 20 → MAR 20 (+1) Actualización automática de software de clientes. Infección con software firmado.
  • 7. Solorigate | javier@junquera.io (UNIR 2021) | 7 SUNBURST Una vez se activa SolarWinds.Orion.Core.BusinessLayer.dll (firmado con certificados legítimos de SolarWinds) se dispara el proceso de análisis: ● Permanece dormido (hasta 2 semanas) ● Verifica que está en una organización (AD) ○ Y que esta no es SolarWinds ● Duerme X tiempo ● Comienza a comunicarse con su C2 ○ Lo “busca” generando subdominios pseudo-aleatorios ○ Imita el protocolo de Orion ● Si es un entorno convincente, inicia la fase 2
  • 8. Solorigate | javier@junquera.io (UNIR 2021) | 8 TEARDROP Una vez desplegado SUNBURST, si el equipo infectado forma parte de los objetivos del malware, entra en juego TEARDROP: ● TEARDROP es un dropper que inyecta en memoria una beacon de Cobalt Strike, para permitir el control remoto de la máquina ● Symantec detecta una variante conocida como Raindrop Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html
  • 9. Solorigate | javier@junquera.io (UNIR 2021) | 9 Impacto A finales de diciembre de 2020 SolarWinds retira la página de clientes, pero se puede recuperar a través de cachés como Internet Wayback Machine. SolarWinds’ Customers. Recuperado el 14 de diciembre de 2020. https://www.solarwinds.com/company/customers
  • 10. Solorigate | javier@junquera.io (UNIR 2021) | 10 > 18.000 compañías afectadas por SUNBURST (Tarasco & Merino, 2021)
  • 11. Solorigate | javier@junquera.io (UNIR 2021) | 11 Impacto Se ha llegado a comparar, en EE.UU., con un Pearl Harbour o un 11S digital1 . Algunos de sus principales clientes: ● Organismos públicos Oficina del Presidente de los EE.UU., Departamento de Defensa de EE.UU., NASA, NSA ● Organizaciones privadas Microsoft, Visa, Mastercard, AT&T, Yahoo!; etc. 1 (Recorded Future, 2021)
  • 12. Solorigate | javier@junquera.io (UNIR 2021) | 12 Impacto Todavía quedan incógnitas acerca del impacto: ● Clientes internacionales Enrique de la Hoz en Twitter. (2020, diciembre 15). Twitter. https://twitter.com/edelahozuah/status/1338880212914855939
  • 13. Solorigate | javier@junquera.io (UNIR 2021) | 13 Impacto Todavía quedan incógnitas acerca del impacto: ● Daños colaterales Organización X Cliente de SolarWinds Organización Y Cliente de organización X (e ignora que existe SolarWinds) SolarWinds Supply chain comprometida
  • 14. Solorigate | javier@junquera.io (UNIR 2021) | 14 Reacciones FireEye ● Trabajo activo en publicación de IOCs, tanto de SUNBURST, como relacionados con sus herramientas de Red Team (robadas) SolarWinds ● Revoca certificados antiguos de software, e inicia una nueva estrategia de seguridad NIST ● Desarrollo de guía de buenas prácticas en gestión de supply chain
  • 15. Solorigate | javier@junquera.io (UNIR 2021) | 15 Atribuciones vx-underground. (2020, diciembre 20). https://mobile.twitter.com/vxunderground/status/1340477486078054401 Se pasa a conocer como DarkHalo al grupo criminal detrás de SUNBURST. EE.UU. atribuye SUNBURST a Rusia: ● Puede que la puerta trasera se introdujese en un desarrollo en Europa del este ● DarkHalo podría estar relacionado con Turla (Rusia) o APT41 (China)
  • 16. Solorigate | javier@junquera.io (UNIR 2021) | 16 Pero esto no termina aquí… Durante el mes de enero de 2021 se detecta una segunda amenaza en el software de SolarWinds: ● COSMICGALE Desde la red privada del cliente, aprovechando una vulnerabilidad de Orion ejecuta scripts de infección escritos en PowerShell ● Supernova Webshell introducida en app_web_logoimagehandler.ashx.b6031896.dll (personalización de logo de la empresa en la plataforma Orion), a través de COSMICGALE
  • 17. Solorigate | javier@junquera.io (UNIR 2021) | 17 Ya no estamos hablando de una backdoor como tal Parte de una vulnerabilidad, y el código desplegado no está firmad Atribuído a un segundo actor, diferente de DarkHalo. Especulaciones alrededor de Corea del Norte Supernova
  • 18. Solorigate | javier@junquera.io (UNIR 2021) | 18 Conclusiones ● Instalar IOC generados por FireEye en sistemas de detección ○ Herramientas de Red Team (https://github.com/fireeye/red_team_tool_countermeasures) ○ Análisis de SUNBURST (https://github.com/fireeye/sunburst_countermeasures) ● Desarrollo de capacidades analíticas y de respuesta ● Toma de conciencia acerca del rol que juegan proveedores y terceros en el riesgo de la organización ● Aunque no es el mejor ejemplo… ¡actualizar los sistemas!
  • 19. Solorigate | javier@junquera.io (UNIR 2021) | 19 Referencias Analyzing Solorigate, the compromised DLL file that started a sophisticated cyberattack, and how Microsoft Defender helps protect customers. (2020, diciembre 18). Microsoft Security. https://www.microsoft.com/security/blog/2020/12/18/analyzing-solorigate-the-compromised-dll-file-that-started-a-sophisticated-cyberattack-and-how-microsoft-d efender-helps-protect/ Beacon: A new advance payload for Cobalt Strike. (s. f.). The Hacker News. Recuperado de https://thehackernews.com/2012/10/beacon-new-advance-payload-for-cobalt.html Boyens, J., Paulsen, C., Bartol, N., Winkler, K., & Gimbi, J. (2021). Key Practices in Cyber Supply Chain Risk Management: Observations from Industry (NIST Internal or Interagency Report (NISTIR) 8276). National Institute of Standards and Technology. https://doi.org/10.6028/NIST.IR.8276 Davis, M. J., Charles. (s. f.). These big firms and US agencies all use software from the company breached in a massive hack being blamed on Russia. Business Insider. Recuperado 16 de febrero de 2021, de https://www.businessinsider.com/list-of-companies-agencies-at-risk-after-solarwinds-hack-2020-12 Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop. (2021, enero 20). Microsoft Security. https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
  • 20. Solorigate | javier@junquera.io (UNIR 2021) | 20 Referencias SolarWinds | Understanding & Detecting the SUPERNOVA Webshell Trojan. (2020, diciembre 23). SentinelLabs. https://labs.sentinelone.com/solarwinds-understanding-detecting-the-supernova-webshell-trojan/ SolarWinds Attribution: Are We Getting Ahead of Ourselves? (2020, diciembre 30). Recorded Future. https://www.recfut.com/solarwinds-attribution/ SolarWinds Orion Breach—What It Means for the Industry Writ Large. (2021, enero 11). Recorded Future. https://www.recfut.com/podcast-episode-191/ Tarasco, A., & Merino, B. (2021, enero 3). Solorigate: La mayor trama de espionaje de la historia. La Voz de Galicia. https://www.lavozdegalicia.es/noticia/mercados/2021/01/03/solorigate-mayor-trama-espionaje-historia/0003_202101SM3P7991.htm SUNBURST Additional Technical Details. (s. f.). FireEye. Recuperado de https://www.fireeye.com/blog/threat-research/2020/12/sunburst-additional-technical-details.html SUNBURST Malware and SolarWinds Supply Chain Compromise. (2020, diciembre 16). McAfee Blogs. /blogs/other-blogs/mcafee-labs/sunburst-malware-and-solarwinds-supply-chain-compromise/ Team, C. I. (2021, enero 11). SUNSPOT Malware: A Technical Analysis | CrowdStrike. https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/