El hackeo a la compañía de IT Solarwinds se dio a conocer el pasado 13 de diciembre y además de convertirse en el mayor ciberataque del 2020, ha sido catalogado como el más sofisticado y complejo de la historia. Ha afectado a varios organismos oficiales de Estados Unidos, como el Pentágono o el Departamento del Tesoro, así como a unos 18.000 clientes de este proveedor de software, incluidos grandes multinacionales como Microsoft, Nvidia y Cisco. Se cree que se ha dirigido principalmente a blancos situados en el país norteamericano, pero el FBI manifestó en estos últimos días que también ha afectado a redes fuera de Estados Unidos.
Este mismo jueves la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE.UU (DHS) también ha lanzado una herramienta para contrarrestar esta amenaza.
Se trata de CISA Hunt and Incident Response Program (CHIRP), una herramienta de línea de comandos que está diseñada para escanear entornos locales en busca de cualquier actividad maliciosa que pueda ser consecuencia del ciberataque a la cadena de suministro de Solarwinds.
Es una herramienta similar a Sparrow, lanzada anteriormente por CISA para identificar la actividad de los atacantes en cuentas y aplicaciones comprometidas en los entornos de nube de Azure y Microsoft 365.
Actualmente, CHIRP solo analiza los sistemas operativos Windows y está disponible en el repositorio GitHub de CISA en dos formatos: como ejecutable compilado, la que se recomienda usar, y como una secuencia de comandos de Python.
Las claves de CHIRP
CHIRP suele completar su escaneo en un tiempo de entre una y dos horas, y genera los datos en formato JSON para su posterior análisis en SIEM o herramientas similares. Según explica CISA, CHIRP se centra en detectar:
- Ciertos mecanismos de persistencia que se han identificado y asociado a esta campaña.
- La presencia de malware denominado como TEARDROP y RAINDROP.
- Descarga de certificados de credenciales.
- Sistema M365, red y enumeración.
- Indicadores observables conocidos de movimiento lateral.
CISA aconseja a las organizaciones que utilicen CHIRP para analizar su entorno y así:
- Examinar los registros de eventos de Windows en busca de artefactos vinculados al ciberataque a Solarwinds.
- Analizar el registro de Windows para detectar cualquier evidencia de intrusión.
- Consultar artefactos de red de Windows.
- Aplicar las reglas de YARA para detectar malware, puertas traseras o implantes.