Co się stało w SolarWinds? – sunburst w akcji!
Końcówka 2020 roku przyniosła nam największy w historii atak, którego celem było uzyskanie dostępu do infrastruktury wielu organizacji publicznych i prywatnych na całym świecie. Od czego się zaczęło?
Oficjalnie zaczęło się od naruszenia bezpieczeństwa firmy FireEye, pionierów w zakresie threat intelligence. FireEye wydał w grudniu oświadczenie, w którym na wstępie jednoznacznie przypisał atakującym przynależność do jednej z rosyjskich grup hakerskich wskazując na nieznane dotąd narzędzia ataku.
W sprawę zaangażowano FBI, a klientów Fireeye (w tym większość amerykańskich instytucji rządowych) ogarnął głęboki niepokój.
Jak to się zaczęło?
Wkrótce okazało się, że atak na Fireeye był jedynie częścią znacznie większego ataku, który został przeprowadzony poprzez złośliwe aktualizacje popularnego produktu do monitorowania sieci firmy SolarWinds i wpłynął na główne organizacje rządowe i firmy na całym świecie.
Incydent ten podkreśla poważny wpływ, jaki mogą mieć ataki na łańcuch dostaw oprogramowania oraz fakt, że większość organizacji jest nieprzygotowana do wykrywania takich zagrożeń, a co dopiero do ich neutralizacji.
Pokrótce
- Hakerzy włamali się do infrastruktury SolarWinds, firmy produkującej platformę do monitorowania sieci i aplikacji o nazwie Orion.
- Następnie wykorzystali ten dostęp do tworzenia i rozpowszechniania trojanizowanych aktualizacji wśród użytkowników oprogramowania.
Aktualizacje oprogramowania dla wersji Orion od 2019.4 HF 5 do 2020.2.1, które zostały wydane między marcem 2020 r. a czerwcem 2020 r., mogły zawierać złośliwe komponenty.
Na stronie internetowej, SolarWinds stwierdził, że wśród jego klientów było 425 z listy Fortune 500, dziesięć największych amerykańskich firm telekomunikacyjnych, pięć największych amerykańskich firm księgowych, wszystkie oddziały sił zbrojnych USA, Pentagon, Departament Stanu, a także setki uniwersytetów i szkół wyższych na całym świecie.
Co ciekawe, Vinoth Kumar, badacz bezpieczeństwa, w wywiadzie dla Reutera powiedział, że w 2019 ostrzegł firmę, że każdy może uzyskać dostęp do serwera aktualizacji SolarWinds, używając hasła „solarwinds123”.
Jak wyglądał atak?
Atakującym udało się zmodyfikować wtyczkę platformy Orion o nazwie SolarWinds.Orion.Core. BusinessLayer.dll, która jest rozpowszechniana w ramach aktualizacji platformy Orion.
Składnik poddany trojanowi jest podpisany cyfrowo i zawiera tylne drzwi, które komunikują się z serwerami stron trzecich kontrolowanymi przez osoby atakujące.
Oto wysokopoziomowy opis kroków ataku:
- Instalacje aktualizacji zawierającej SolarWinds.Orion.Core.BusinessLayer.dll
- 2-tygodniowy okres uśpienia – celem zmylenia programów typu AV i EDR.
- „Obudzony” komponent pobiera i wykonuje polecenia zwane „Tasks”, które obejmują możliwość przesyłania plików, wykonywania plików, profilowania systemu, ponownego uruchamiania komputera i wyłączania usług systemowych.
- Złośliwe oprogramowanie podszywa się pod swój ruch sieciowy jako protokół Orion Improvement Program (OIP) i przechowuje wyniki rekonesansu w legalnych plikach konfiguracyjnych wtyczek, umożliwiając wtopienie się w legalną aktywność SolarWinds.
- Backdoor używa obfuskacji list blokujących w celu identyfikacji i neutralizacji narzędzi śledczych i antywirusowych działających jako procesy, usługi i sterowniki.
Jednym z najlepszych opracowań ataku jest infografika Vectry AI – pokazująca przy okazji jak istotne jest posiadania dobrego rozwiązania rozpoznającego potencjalnie niebezpieczne zachowania sieciowe:
Dokładny harmonogram incydentu wciąż jest uszczegóławiany, jednak dr Herb Lin z amerykańskiego Center for International Security and Cooperation, już 22 grudnia 2020 r. przedstawił ciekawe wnioski.
Poniżej je przedstawiamy
- Skala i znaczenie tego incydentu będzie rosnąć, gdy ujawni się więcej szczegółów naruszenia. Istnieje niewielkie prawdopodobieństwo, że wszystkie szkody, które wystąpiły, zostały ujawnione ofiarom ataku. Co więcej, możliwe, że niewykryte fragmenty ataku nadal trwają, nadal gromadząc informacje, które zostaną przesłane z powrotem do przeciwnika lub podkładając „bomby logiczne”, które zostaną „zdetonowane” w przyszłości. Chociaż w chwili obecnej nie ma dowodów na to, że tak jest, w rejestrach publicznych nie pojawiło się nic, co by to wykluczało.
- Atakujący mieli wiele miesięcy, aby zagłębić się w infrastrukturę technologii informacyjnej (IT) swoich celów. Całkowite wyeliminowanie dostępu atakujących do sieci będzie naprawdę trudne, jeśli nie niemożliwe. Przebudowa całych systemów IT od podstaw może być jedyną rzeczą, jaką mogą zrobić sieci, których dotyczy problem, aby zapewnić atakującym utratę przyczółka.
- Ofiary próbujące odbudować swoje systemy od podstaw staną w obliczu bolesnych wyborów między bezpieczeństwem a znaczną utratą efektywności operacyjnej – podobną do tej, która miała miejsce między marcem 2020 r. (nie wspominając o utracie produktywności związanej z przebudową systemów zamiast wykonywania pożytecznej nowej pracy).
- Żaden dostawca produktów lub usług komputerowych nie jest w stanie samodzielnie opracować tego, czego potrzebuje. Nawet najbardziej wyrafinowany dostawca produktów i usług IT pozyskuje komponenty, takie jak zasilacz lub bibliotekę programów, od innych podmiotów, w celu zintegrowania ich ze swoją ofertą dla klientów. Naruszenie SolarWinds zostało opisane jako „atak na łańcuch dostaw”, co jest prawdą. Jednak luki w łańcuchach dostaw są problemem dla specjalistów ds. cyberbezpieczeństwa od wielu dziesięcioleci.
- Większość zgłoszonych do tej pory naruszeń bezpieczeństwa cybernetycznego naruszyła poufność danych – hakerzy zdobywają dane, do których nie mają dostępu. Ale są też inne zagrożenia dla danych. Naruszenie integralności danych, w szczególności sytuacje, gdy hakerzy zmieniają lub usuwają dane jest poważnym problemem. Naruszenie integralności może być nawet bardziej niebezpieczne niż naruszenie poufności. W przypadku elektronicznej dokumentacji medycznej większość ludzi czułaby się znacznie gorzej z powodu włamania cybernetycznego, które usunęło oznakę alergii na określony lek z dokumentacji medycznej, niż takiego, które tylko ujawniło tę alergię, nawet jeśli te rejestry mają być poufne.
- Dane nie są jedynym zagrożonym komponentem – może to również dotyczyć urządzeń fizycznych podłączonych do IoT i komputerowych systemów kontroli. Nawet smartfony i komputery osobiste umożliwiają sterowanie urządzeniami fizycznymi, takimi jak drukarki i urządzenia takie jak Amazon Alexa. Prawie każda fizyczna funkcjonalność świata rzeczywistego może być powiązana z siecią i kontrolowana przez komputer, i jest mało prawdopodobne, aby ktokolwiek znał pełny zakres i zakres możliwości cyberfizycznych, które atakujący mogą teraz kontrolować.
Jaka jest najważniejsza lekcja bezpieczeństwa, którą można wynieść z ataku na SolarWinds?
Według nas to, że nigdy nie możemy założyć kontroli nad każdym aspektem „swojej” sieci i zasobów pracujących w jej ramach. SolarWinds pokazuje nam, że dostawcy muszą być traktowani jako przedłużenie naszej sieci i poddawania rygorystycznej kontroli.
Warto przeczytać artykuł na temat podejścia Zero Trust.
Osoby korzystające z technologii informatycznych muszą założyć, że ich systemy i sieci zostały już naruszone i podjąć odpowiednie środki ostrożności, jakby działały w zainfekowanych systemach i sieciach. Będzie to niewygodne, zmniejszy produktywność i wyda się niepotrzebne, ale jest to jedyny sposób na ograniczenie skutków naruszenia bezpieczeństwa.
Obecnie użytkownicy chcą, aby systemy komputerowe były szybsze, łatwiejsze w użyciu i bardziej interoperacyjne. Chcą kontrolować więcej rzeczy, spełnienie tych wymagań zwiększy złożoność systemów komputerowych.
Jednak eksperci ds. cyberbezpieczeństwa wiedzą, że większa złożoność systemu nieuchronnie prowadzi do obniżenia poziomu bezpieczeństwa, stwarza więcej sposobów na uzyskanie nieautoryzowanego dostępu i więcej luk do wykorzystania.
W efekcie rosnące wymagania konsumentów dotyczących funkcjonalności prowadzą do bardziej niepewnych systemów.
A gdzie według Ciebie leży granica, gdy należy powiedzieć STOP produktywności by zapewnić bezpieczeństwo?