FireEye ha descubierto una campaña a nivel global, identificada como "UNC2452". Los actores que están vinculados a ella accedieron a las redes de numerosas organizaciones públicas y privadas a través de la cadena de suministro de las actualizaciones de software. Los primeros indicios descubiertos de esta brecha de seguridad se remontan a la primavera del año 2020, hoy en día la campaña sigue estando activa. Las acciones posteriores al compromiso de la seguridad de sus objetivos, ha incluido el movimiento lateral y el robo masivo de datos. El gobierno de los Estados Unidos informa que esta ha sido realizada por el SVR, el Servicio de Inteligencia Exterior de Rusia.

¿Qué es SUNBURST?

Se trata de un grupo de malware que está detrás de esta campaña, y que permite al actor acceder a numerosas organizaciones públicas y privadas de todo el mundo. Los atacantes lograron el acceso remoto a los entornos de las víctimas, mediante la inserción de código malicioso, en las actualizaciones legitimas del software de monitorización y gestión de TI SolarWind Orion. Tras el acceso inicial, el actor fue capaz de utilizar otras técnicas mas sofisticadas para escalar privilegios dentro de la organización.

¿Cuáles son sus motivaciones?

Sus principales motivaciones son con alta probabilidad el espionaje mediante la exfiltración de datos. Hasta ahora, no se han descubierto indicadores vinculados a extorsión, ransomware o delitos financieros.

¿Quién es el responsable?

FireEye investiga a los actores detrás de esta campaña identificándolos como UNC2452. UNC se refiere a un grupo "no categorizado" dentro del esquema de nomenclatura de Mandiant Threat Intelligence. La campaña es obra de un actor altamente cualificado y muy paciente, que tiene una huella de malware ínfima, ya que priorizan ante todo el sigilo y prestan una gran atención a la seguridad operativa.

En abril del presente año, el gobierno estadounidense atribuyó formalmente esta campaña al Servicio de Inteligencia Exterior de Rusia.

¿A quién ha afectado?

Entre las víctimas de esta campaña, se encuentran múltiples entidades gubernamentales, empresas privadas de sectores como la consultoría, tecnología, sanidad, telecomunicaciones, además de empresas energéticas (petróleo y gas) de Norteamérica, Europa, Asia y Oriente Medio. Es posible que haya aun más víctimas en otros países y sectores sin identificar.

En la siguiente guía, le mostramos las estrategias de defensa y recomendaciones de bastionado frente a este actor:

• www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf