PrincipianteSolarWindsSunburstsupply chainSVRespionajemediático

SolarWinds/Sunburst: supply chain contra el gobierno de EEUU

Historia del ataque SolarWinds/Sunburst (2020): cómo el SVR ruso comprometió la cadena de suministro de software para espiar al gobierno de EEUU y a miles de organizaciones.

MalwareIntel Research··4 min lectura
Serie: Malware y Personajes que Hicieron Historia — Parte 8

El titular

Diciembre de 2020. FireEye (ahora Mandiant), una de las empresas de ciberseguridad más grandes del mundo, descubre que ha sido hackeada. Durante la investigación, descubren algo peor: el vector de entrada fue una actualización legítima de SolarWinds Orion, un software de monitorización de red usado por 33,000 organizaciones incluyendo el Departamento del Tesoro, el Departamento de Estado, el DHS y el Pentágono.

El ataque había estado activo desde marzo de 2020. Nueve meses sin detección en las redes más vigiladas del mundo.

Cómo funcionaba

La infiltración en SolarWinds

APT29 comprometió el entorno de desarrollo de SolarWinds. Insertaron código malicioso (Sunburst) directamente en el proceso de build del software Orion. El código se compilaba, firmaba digitalmente con el certificado legítimo de SolarWinds, y se distribuía como una actualización normal.

La sofisticación del ataque al proceso de build fue extraordinaria: el código malicioso se insertaba de forma que parecía código legítimo, pasaba las revisiones de código y no activaba alertas en los sistemas de CI/CD.

Sunburst: el backdoor

Sunburst se activaba tras un periodo de dormancia de 12-14 días (evitar sandboxes que monitorizan solo los primeros días). Luego:

  1. Verificaba que no estaba en un entorno de análisis (buscaba herramientas de seguridad, nombres de dominio de labs)
  2. Contactaba con C2 usando dominios que imitaban tráfico legítimo de SolarWinds
  3. Los dominios C2 usaban DGA (Domain Generation Algorithm) basada en el nombre del dominio de la víctima
  4. El tráfico C2 se camuflaba como tráfico normal del protocolo OIP (Orion Improvement Program)

Selección de objetivos

De 18,000 organizaciones que instalaron la actualización, APT29 solo activó el espionaje en ~100. El resto recibían un "kill switch" vía C2: Sunburst se desactivaba silenciosamente. Esta selectividad es característica de operaciones de espionaje de estado: no quieres alertar escaneando todo.

Herramientas post-explotación

Una vez seleccionado un objetivo, APT29 desplegaba herramientas adicionales:

  • Teardrop: loader en memoria que desplegaba Cobalt Strike
  • GoldMax/Sunshuttle: backdoor de segunda etapa para persistencia
  • Sibot: script VBS para persistencia ligera
  • GoldFinder: herramienta de mapeo de proxies HTTP

Víctimas confirmadas

Gobierno de EEUU

  • Departamento del Tesoro
  • Departamento de Estado
  • Departamento de Seguridad Nacional (DHS)
  • Departamento de Comercio (NTIA)
  • Departamento de Energía / NNSA (armas nucleares)
  • NIH (National Institutes of Health)

Sector privado

  • FireEye/Mandiant (así se descubrió)
  • Microsoft (acceso a código fuente)
  • Intel, Cisco, Deloitte, Belkin
  • Múltiples empresas de telecomunicaciones y tecnología

Las lecciones

1. Supply chain es el vector más devastador

SolarWinds perfeccionó lo que NotPetya había demostrado: comprometer el proveedor de software para acceder a todos sus clientes. La confianza en las actualizaciones de software es la base del ecosistema. Un atacante que compromete ese mecanismo tiene acceso ilimitado.

2. El dwell time puede ser meses

9 meses sin detección en las redes del gobierno federal. Las defensas basadas en detección rápida fallan contra atacantes que se mueven lentamente, imitan tráfico legítimo y seleccionan objetivos con precisión quirúrgica.

3. Los proveedores de software son infraestructura crítica

SolarWinds no era una empresa de defensa ni una agencia de inteligencia. Era un proveedor de herramientas de monitorización. Pero su compromiso fue equivalente a comprometer las redes que monitorizaba.

4. La firma digital no garantiza seguridad

El backdoor estaba firmado con el certificado legítimo de SolarWinds. Las organizaciones que verificaban firmas digitales instalaron el malware confiando en la firma. Code signing protege la integridad del transporte, no la integridad del proceso de desarrollo.

Respuesta

  • Executive Order 14028 (mayo 2021): requisitos de seguridad de software para proveedores del gobierno (SBOM, secure development practices)
  • Sanciones a Rusia (abril 2021): EEUU sancionó al SVR y a entidades relacionadas
  • CISA Alert: Emergency Directive 21-01, requiriendo a agencias federales desconectar SolarWinds Orion inmediatamente
  • SolarWinds: reestructuró su proceso de desarrollo con "Secure by Design" initiative

Estado actual

APT29/Cozy Bear: sigue activo. Responsable de ataques posteriores contra Microsoft (Midnight Blizzard, 2024) y otros objetivos. SolarWinds: reformó su proceso de build, publicó transparencia sobre el incidente. La industria adoptó SBOMs (Software Bill of Materials) como práctica estándar en parte gracias a este incidente.

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.