El último gran ciberataque del 2020 certifica lo convulso que ha sido el pasado año en términos de ciberseguridad. Sunburst ha afectado a cientos de grandes organizaciones en un sofisticado ciberataque del que todavía se continúa haciendo una valoración de daños. Este ciberataque de cadena de suministro ha pasado desapercibido durante meses y también ha alcanzado a algunas instituciones que aparentemente deberían contar con las mayores medidas de ciberseguridad posibles, como es el caso de la NSSA, la agencia dependiente del Departamento de Energía de EEUU que controla su stock de armas nucleares. Eso también ha provocado un impacto geopolítico.

Ocurre que, si bien se desconoce a ciencia cierta el origen de este malware, dada la sofisticación del mismo y los objetivos a los que se dirige, las sospechas recaen sobre organizaciones afines al gobierno ruso en un episodio más de ciberguerra. “Se trata de un ataque elaborado con paciencia y bien planificado”, explica la CISA, la Agencia Estadounidense de Ciberseguridad en un boletín en el que se destaca la gravedad del mismo. Este organismo ha confirmado que, por el momento, el ciberataque ha sido neutralizado únicamente en organizaciones privadas como es el caso de Microsoft, una de las corporaciones que ha confirmado la presencia de Sunburst y su posterior neutralización.

Pero si bien las corporaciones privadas han logrado neutralizar el ataque, no sucede lo mismo en organizaciones gubernamentales, donde se trata de un incidente “en desarrollo”, como lo han calificado en un comunicado conjunto el FBI, CISA y la Oficina del Director de Inteligencia Nacional (ODNI). Como es natural, la principal preocupación de este sofisticado ciberataque se centra en la información obtenida del almacenamiento de armamento nuclear.

Dificultad de detección_

Como ocurre con muchos ciberataques de tipo cadena de suministro, este malware ha resultado difícil de detectar porque ha aprovechado un elemento de terceros que es legítimo: en este caso, una actualización de software que ha convertido en troyano. La plataforma afectada ha sido la plataforma de gestión de redes corporativas Orion, de la compañía SolarWinds; los ciberatacantes han inoculado Sunburst en una presunta actualización que ha sido además firmada como autentica, y que ha contado con una distribución masiva en organizaciones de gran calado.

Compañías como Microsoft, Intel, Cisco o SAP se encuentran entre sus 18.000 descargas, según confirma la propia SolarWinds. Pero pese a ese numeroso volumen, al final se han visto afectadas entre 150 y 200 organizaciones, principalmente en Estados Unidos. Aunque su alcance no ha sido tan grande, su gravedad reside, como se ha apuntado con anterioridad, en su dificultad de detección y por tanto en el tiempo que ha pasado desapercibido constituyendo una herramienta para los ciberatacantes; en este sentido, se estima que Sunburst comenzó a actuar entre los meses de marzo y junio de 2020, y ha escalado en su ataque en, al menos, una ocasión.

Troyanos en software legítimo_

Sunburst ha troyanizado una actualización de software de Orion, a la que ha dotado de un marchamo de autenticidad tal que ninguna organización ha reparado en su presencia. El volumen de este tipo de ciberataques no es despreciable precisamente: un estudio de Ponemon Search llevado a cabo en 2020 reveló que para el 51% de las organizaciones que tuvieron que recurrir a un seguro por haber sufrido un ciberincidente, estuvo implicado un tercero que generalmente se trataba de otra organización como un partner o proveedor de servicios tecnológico.

Si bien, todavía no se conocen todos los pormenores del mismo, se sabe que este malware —que como sabemos, llegó oculto en una actualización de Orion—, una vez accede a las redes de las organizaciones permanece latente acumulando datos y registros de las mismas. Transcurridos entre 10 y 14 días, Sunburst envía datos a un servidor de control y comando remoto (C&C); en este punto, los ciberatacantes analizan dicha información y escalan el ataque únicamente sobre los objetivos que consideren.

Nula confianza por defecto_

El flanco más débil de los ataques a la cadena de suministro, referidos a aquellos proveedores de productos o servicios de una organización que escapan de la protección de la misma, es que mantengan un enfoque de ciberseguridad ya obsoleto, que daría por buenos los elementos de software por el simple hecho de provenir de fuentes supuestamente legítimas.

Por eso, ante ciberataques de este tipo, es fundamental contar con enfoques de ciberseguridad que partan de una premisa de nula confianza en cualquier aplicación por defecto. Así ocurre con el servicio Zero-Trust Application que existe en todas las soluciones de Cytomic y deniega la ejecución de cualquier elemento de software, por legítimo que pueda parecer, sin antes haber sido verificado. Así es como se reducen las posibilidades de que un malware como Sunburst utilice a la cadena de suministro como su vector de ataque.