La historia interna del infame hackeo de SolarWinds

La historia interna del infame hackeo de SolarWinds

Sudhakar Ramakrishna estaba sentado en una comida de cumpleaños con su familia cuando recibió la llamada: SolarWinds había sufrido un ciberataque a gran escala. La fecha era el 12 de diciembre de 2020 y se esperaba que Ramakrishna se convirtiera en CEO en unas pocas semanas.

El alcance y la gravedad del incidente no fueron evidentes de inmediato, pero aún tenía que tomar una decisión. ¿Abandonaría el barco, que había causado una fuga bajo el liderazgo del capitán anterior, o tomaría un balde y comenzaría a rescatarlo?

Varios confidentes cercanos aconsejaron a Ramakrishna que dejara el cargo, mientras que otros sugirieron que sus habilidades y experiencia en ciberseguridad lo convertían en la persona ideal para presidir la adquisición.

Aunque se tomó un tiempo para considerar sus opciones, la decisión de mantener el rumbo fue en última instancia simple, dijo Ramakrishna a LaComparacion Pro. Se le dijo a la junta que daría marcha atrás si se decidía que SolarWinds se beneficiaría de la continuidad, pero por lo demás estaba preparada para guiar a la empresa a través de la crisis.

En las semanas que siguieron, Ramakrishna comenzó a colaborar con el equipo de gestión detrás de escena. La primera prioridad fue descubrir exactamente qué sucedió y cómo, y la segunda fue formular un plan de acción que SolarWinds pudiera llevar a sus clientes, socios y la prensa.

"La idea de que un ataque le puede pasar a cualquiera se ha vuelto más frecuente, pero eso no te absuelve del hecho de que te pasó a ti", dijo. "Cada negocio experimentará una crisis o dos, pero lo que importa es cómo reacciona la gerencia".

Sudhakar Ramakrishna

Sudhakar Ramakrishna, director ejecutivo de SolarWinds. (Crédito de la imagen: Vientos solares)

Un comienzo turbulento

El ataque en sí había comenzado varios meses antes, en septiembre de 2019, cuando un sofisticado grupo de ciberdelincuentes sospechosos de tener vínculos con el estado ruso obtuvo acceso por primera vez a la red de SolarWinds.

Los actores de amenazas mostraron una paciencia notable, escondiéndose a simple vista mientras pintaban una imagen completa de la infraestructura de SolarWinds y el proceso de desarrollo de productos de la empresa.

Entre los diversos productos de SolarWinds, los atacantes estaban particularmente interesados ​​en un servicio de monitoreo del rendimiento de la computadora llamado Orion, que necesita acceso privilegiado a los sistemas del cliente para funcionar según lo previsto.

Después de una prueba inicial, los piratas informáticos inyectaron una variedad de malware conocida como SUNBURST en una actualización de software de Orion en algún momento entre marzo y junio de 2020. El parche venenoso se entregó a aproximadamente 18 000 clientes de SolarWinds, lo que brinda a los atacantes acceso prácticamente ilimitado a las redes de agencias gubernamentales, seguridad empresas y corporaciones multinacionales en el proceso.

“La industria no es nueva en temas de seguridad, pero cada uno tiene su propio giro y significado, y eso fue importante a su manera”, dijo Ramakrishna.

“El arte utilizado para crear la brecha no fue trivial, fue un ataque a la cadena de suministro. Es un concepto bien conocido en seguridad, pero no se practica bien.

Seguridad

(Crédito de la imagen: Shutterstock/Song_about_summer)

Lo que hace que un ataque de este tipo sea tan difícil de detectar, explicó, es que el actor de amenazas solo necesita modificar uno de los miles de archivos para llevar a cabo un ataque, lo que resulta en el compromiso de una gran cantidad de objetivos.

Al final, el grupo optó por infiltrarse solo en un subconjunto de las organizaciones comprometidas, incluidas Microsoft, Cisco, VMware, Intel y varias agencias federales de EE. UU., pero el ataque fue descrito como uno de los más importantes de la historia.

Cuando la firma de seguridad FireEye alertó a SolarWinds sobre el incidente, que había detectado una actividad inusual en su propia red, la empresa entró en modo de crisis. Y fue en este clima que Ramakrishna cruzó las puertas en su primer día oficial a cargo.

Sin embargo, aunque la moral del personal era la esperada y las conversaciones con clientes enojados a menudo eran difíciles, la crisis al menos proporcionó una plataforma para que Ramakrishna se apoyara.

"De alguna manera, es más fácil hacer cambios en medio de una crisis", nos dijo. “Cuando todo es perfecto, hay mucha resistencia, pero cuando una empresa está en estado de shock, la gente es receptiva a nuevas ideas”.

El 7 de enero de 2021, Ramakrishna publicó una publicación de blog que describía lo que se había aprendido sobre el ataque hasta el momento, ofrecía pasos inmediatos para ayudar a los clientes a navegar el incidente y establecía un nuevo marco para evitar que "un ataque similar no vuelva a ocurrir en el futuro.

El rompecabezas de la cadena de suministro

Aunque SolarWinds ha logrado recuperarse en los últimos doce meses, con la retención de clientes volviendo ahora a los niveles previos al ataque, el incidente ha tenido un impacto severo en los resultados de la empresa.

En lugar de canalizar los recursos hacia el desarrollo de productos, las ventas y la generación de demanda como lo haría un negocio normal, la empresa se vio obligada a dar la vuelta, con su reputación hecha jirones.

Ramakrishna y su equipo de administración dividieron la lista de clientes y comenzaron a reunirse con muchos de ellos individualmente, tanto para disculparse y explicar lo que había sucedido como para ayudarlos a determinar si sus propias redes habían sido pirateadas.

Lo describió como una parte muy incómoda pero esencial del "proceso de curación" que eventualmente allanó el camino para el regreso a las operaciones comerciales normales.

Sin embargo, a pesar de las consecuencias para SolarWinds, hay evidencia que sugiere que la industria de ciberseguridad en general no ha aprendido las lecciones correctas. Desde el ataque, se han producido una serie de incidentes similares de alto perfil, como el ataque de Kaseya, Log4j e, incluso más recientemente, la brecha de seguridad de Okta-Lapsus€.

Cuando se le preguntó por qué cree que siguen ocurriendo ataques a la cadena de suministro, Ramakrishna explicó que la naturaleza inconexa de la defensa colectiva le da al atacante una ventaja significativa desde el principio.

"No es solo un problema de tecnología, hay mucho más", dijo. “Cada uno de nosotros nos defendemos de un agresor. Pero por un lado, hay un ejército coordinado con un único objetivo, atacar, y por otro, una colección de soldados fragmentados.

Sudhakar Ramakrishna

(Crédito de la imagen: Vientos solares)

Ramakrishna también criticó la cultura de avergonzar a las víctimas, que según él contribuye a la renuencia de las empresas a compartir información vital.

"Todavía hay mucha vergüenza para las víctimas, por lo que las empresas a menudo terminan resolviendo los problemas sin decir nada al respecto. Definitivamente hay renuencia a hablar", nos dijo.

“En caso de un incidente, es importante obtener ayuda de la comunidad. Necesitamos que la gente tome conciencia de los problemas más rápido; este estado de ánimo debe prevalecer en la seguridad del software.

Para evitar que vuelva a ocurrir un ataque a la cadena de suministro de esta magnitud, Ramakrishna también cree que las empresas deben adoptar un nuevo marco de seguridad, al que llama "seguro por diseño".

El modelo tiene tres componentes: seguridad de la infraestructura, seguridad del sistema de construcción y el diseño del sistema de construcción en sí. Pero la idea general es seguir cambiando la superficie de ataque, para no proporcionar al atacante un objetivo fijo y minimizar la ventana de oportunidad.

Con este objetivo en mente, SolarWinds ha creado un "sistema de construcción en paralelo" en el que su software se construye en tres ubicaciones separadas, que se pueden cambiar dinámicamente. El resultado de cada construcción individual luego se coteja con los demás para eliminar cualquier inconsistencia que pueda traicionar un ataque.

Para infiltrarse con éxito en una revisión, un intruso tendría que lanzar tres ataques simultáneamente, exactamente al mismo tiempo y usando exactamente la misma técnica.

"Es algo muy difícil de hacer, incluso para el ciberdelincuente más persistente", dijo Ramakrishna.

El nuevo aspecto de SolarWinds

Irónicamente, se ha sugerido que SolarWinds ahora podría considerarse la empresa más segura del mundo. Después de todo, ninguna otra organización se ha enfrentado al mismo nivel de escrutinio desde que se descubrió el ataque.

Ramakrisha se negó a comentar si creía o no que la caracterización era precisa, pero dijo que era algo que la compañía estaba "decidida a hacer realidad".

Operando dentro de su diseño seguro, SolarWinds ahora buscará construir sobre su base de monitoreo de TI y evolucionar hasta convertirse en una empresa que pueda respaldar las necesidades híbridas de los clientes, tanto en la nube como en las instalaciones.

Ramakrishna prometió un mayor nivel de automatización e instalaciones superiores de visualización y corrección que, en conjunto, ayudarán a resolver los tipos de problemas creados por la transformación digital. El objetivo es “reducir la complejidad, mejorar la productividad y reducir los costos” para los clientes, nos dijeron.

Ahora que algunos rayos de sol comienzan a atravesar la nube que se cierne sobre la empresa, Ramakrishna está ansioso por concentrarse en estos objetivos centrales. Pero cuando nuestra conversación llegó a su fin, también se tomó un momento para advertir contra la autocomplacencia:

“Ninguna empresa, haga lo que haga, debe creer que es inmune al ataque, porque eso es un error”, dijo.