– Las autoridades de los Estados Unidos finalmente intervinieron para tratar de ayudar a abordar el ciberataque de SolarWinds. Al menos hay unas 30 mil empresas que han sido víctimas del hackeo.
Después de que Microsoft lanzó su herramienta, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también lanzó una herramienta que tiene la misma capacidad, a saber, reducir el malware Solarigate explotado.
Las empresas pueden utilizar la herramienta de línea de comandos CISA para realizar análisis del sistema con respecto a la presencia o ausencia de actividad sospechosa que lleve a la actividad de Solarigate. La herramienta encontrará muestras de exploits contra la aplicación SolarWinds. La herramienta se llama CISA Hunt and Incident Response Program (CHIRP) y ya está disponible.
“CHIRP buscará signos de interferencia APT en el entorno local”, dijo CISA durante el anuncio.
Básicamente, CHIRP tiene un método para encontrar muestras de exploits en la aplicación SolarWinds Orion. Es una popular herramienta de red utilizada por decenas de miles de empresas. Esta vulnerabilidad de puerta trasera provocó la crisis de Solarigate.
Como ya se indicó, esta herramienta adopta un enfoque similar a Sparrow, un programa lanzado anteriormente por Microsoft para detectar la actividad de Solarigate en los servicios de Azure y Microsoft 365. CISA dice que CHIRP se maximizará cuando se use en los registros de eventos de Windows, así como en la plataforma de Registro.
CISA aconseja a las empresas que utilicen CHIRP con los siguientes requisitos:
Examina los registros de eventos de Windows en busca del historial asociado con la actividad de Solarigate. Comprueba el registro de Windows en busca de evidencia de intrusión. Realiza consultas de historial en las redes de Windows e implementa las reglas YARA para detectar malware, puertas traseras o implantes.
Todos los sistemas de seguridad de la red deben revisar y confirmar la actividad de amenazas posterior al compromiso detectada por la herramienta. CISA ha proporcionado puntajes de confianza para cada regla IOC y YARA incluida en el lanzamiento de CHIRP. Para cada resultado positivo confirmado, CISA recomienda recolectar imágenes forenses del sistema relevante y realizar un análisis forense en el sistema.
Para información, este ataque relacionado con SolarWinds ha infectado a decenas de miles de empresas, incluidas agencias gubernamentales. Microsoft ha confirmado previamente que los tokens de acceso robados de los servicios de Azure y Microsoft 365 fueron parte del ataque.
