Търсене
Close this search box.

Откакто атаката на веригата  SolarWinds беше разкрита миналата неделя, се появи вихър от новини, технически подробности и анализи, публикувани за хака. Тъй като количеството информация, което беше публикувано за толкова кратко време, определено е огромно, решихме да обобщим всичко от  новините за SolarWinds през седмицата.

Информацията е побрана  във формат, който, надяваме се, ще обясни атаката, кои са нейните жертви и какво е известно до този момент.

Верижната атака  SolarWinds

Докато научихме за атаката на SolarWinds на 13 декември, първото разкриване на последиците от нея беше направено на 8 декември, когато водещата компания за киберсигурност FireEye разкри, че е била хакната от спонсорирана от държава  APT група, за което вече писахме. Като част от тази атака, авторите на  заплахата откраднаха инструментите за оценка на Red Team, които FireEye използва, за да изследва сигурността на своите клиенти. Не беше известно как хакерите са получили достъп до мрежата на FireEye до неделя, 13 декември 2020г., когато Microsoft, FireEye, SolarWinds и правителството на САЩ публикуваха координиран доклад, че SolarWinds са били хакнати от финансирани от държава автори на заплахи, за които се смята, че са част от руския SVR. Един от клиентите на SolarWinds, който пострада от тази атака, е FireEye. Като част от атаката, авторите на  заплахата получиха достъп до системата за изграждане на SolarWinds Orion и добавиха задна врата към законния DLL файл SolarWinds.Orion.Core.BusinessLayer.dll След това тази DLL се разпространява на клиентите на SolarWinds в атака на веригата за доставки чрез платформа за автоматично актуализиране, използвана за изтласкване на нови актуализации на софтуера.

Този DLL backdoor е известен като SunBurst (FireEye) или Solarigate (Microsoft), и се зарежда от програмата SolarWinds.BusinessLayerHost.exe. След като бъде зареден, той ще се свърже обратно към отдалечения сървър за управление и управление в поддомейн на avsvmcloud [.] Com за получаване на „работни места“ или задачи, които да се изпълняват на заразения компютър. DNS името на командния контролен сървър на задната врата се създава, използвайки алгоритъм за генериране на домейн (DGA), за да създаде кодиран поддомейн на avsvmcloud [.] Com. FireEye заявява, че поддомейнът се създава чрез „обединяване на потребител Id на жертва с обратимо кодиране на името на домейна на локалната машина на жертвите“ и след това се хешира. Например, поддомейнът, използван в тази атака, е ‘1btcr12b62me0buden60ceudo1uv2f0i.appsync-api.us-east-2 [.] Avsvmcloud.com.’
Доклад на Ким Зетер, публикуван в петък вечерта, показва, че авторите на заплахата може да са извършили суха тренировка на метода на разпространение още през октомври 2019г. По време на този сух пробег  DLL се разпространява без злонамерената задна врата SunBurst. След като хакерите са започнали да разпространяват задната врата през март 2020 г., изследователите смятат, че нападателите в продължение на месеци мълчаливо са изчаквали в някои от компрометираните мрежи, докато събират информация или извършват друга злонамерена дейност. В доклада на Зетер се посочва, че FireEye в крайна сметка са открили, че са били хакнати, след като хакерите са се регистрирали устройство в системата на компанията с многофакторно удостоверяване (MFA), използвайки откраднати идентификационни данни. Едва след като системата предупредила служителя и екипа за сигурност на това неизвестно устройство, FireEye осъзнали, че те са били компрометирани.
Понастоящем FireEye проследява хакерите зад тази кампания като UNC2452, докато базираната във Вашингтон фирма за киберсигурност Volexity свързва тази дейност с хакер, който проследява под прозвището Dark Halo. Volexity казва, че хакерите от Dark Halo са координирали злонамерени кампании между края на 2019 г. и юли 2020 г., насочвайки и успешно компрометирайки същия базиран в САЩ мозъчен тръст три пъти подред. „В първоначалния инцидент Volexity намери множество инструменти, задни врати и импланти на зловреден софтуер, които позволиха на нападателя да остане неоткрит в продължение на няколко години“, каза компанията. При втората атака, след като беше изхвърлен от мрежата на жертвата, Dark Halo използва новоразкрита грешка на сървъра на Microsoft Exchange, която им помогна да заобиколят защитите на Duo за многофакторно удостоверяване (MFA) за неоторизиран достъп до имейл чрез Outlook Web App (OWA) обслужване. По време на третата атака, насочена към същия мозъчен тръст, авторът на заплахата използва атаката на веригата за доставки SolarWinds, за да разгърне същия Backdoor Dark Halo, използван за пробиване на мрежите на FireEye и няколко американски правителствени агенции. Непотвърдени медийни съобщения също цитират източници, свързващи атаките с APT29 (известен още като Cozy Bear), финансирана от държавата хакерска група, свързана с руската служба за външно разузнаване (SVR). Понастоящем изследователите, включително FireEye, Microsoft или Volexity, не са приписали тези атаки на APT29.
Руското посолство в САЩ реагира на тези съобщения в медиите, казвайки, че те са „неоснователен опит на американските медии да обвинят Русия за хакерски атаки срещу правителствени органи на САЩ“. „Русия не извършва нападателни операции в кибер пространството“, добави посолството.
Докато Русия продължава да отрича тези атаки, държавният секретар Майк Помпео заяви в интервю, публикувано в петък вечерта, че е „доста ясно“, че Русия стои зад тази атака. „Това беше много значително усилие и мисля, че е така, че сега можем да кажем доста ясно, че именно руснаците са се ангажирали с тази дейност“, каза Помпео пред радиоводещия Марк Левин.

Жертвите

Изследователите смятат, че злонамерената DLL е била изтласкана на приблизително 18 000 клиенти като част от тази атака. Хакерите обаче се насочват само към организации, които те възприемат като такива с „висока стойност“, така че въпреки че някои от тези клиенти може да са получили DLL, не е известно дали те са били активно таргетирани при допълнителни атаки. Понастоящем известният списък на организациите, които бяха засегнати от атаката на веригата за доставки SolarWinds, включва:
  • FireEye
  • Министерство на финансите на САЩ
  • Национална администрация за телекомуникации и информация на САЩ (NTIA)
  • Държавен департамент на САЩ
  • Националните здравни институти (NIH) (част от Министерството на здравеопазването на САЩ)
  • Министерство на вътрешната сигурност на САЩ (DHS)
  • Министерство на енергетиката на САЩ (DOE)
  • Национална администрация по ядрена сигурност на САЩ (NNSA)
  • Някои щати на САЩ (конкретни щати не са разкрити)
  • Microsoft
  • Cisco
Microsoft също е идентифицирала и уведомила повече от 40 свои клиенти, засегнати от тази атака, но не е разкрила имената им. Те заявяват, че 80% от жертвите са от САЩ, а 44% са от ИТ сектора.
Въз основа на декодирането на поддомейни, генерирани от алгоритъма за генериране на злонамерен софтуер (DGA), много известни компании могат да разкрият целенасочени атаки на по-късна дата.
Тъй като този IP адрес е част от блокиращия списък на зловредния софтуер, когато се свърже с който и да е поддомейн на avsvmcloud [.] Com, той ще се разтовари и вече няма да се изпълнява.
Докато този превключвател за убиване ще деактивира бекдор разположенията на SunBurst, свързващи сървърите за управление, FireEye заяви, че хакерите може да са разположили други задни врати.

Как да проверите дали сте били пробити

Ако сте потребител на продукти на SolarWinds, трябва незабавно да се консултирате с техните съвети  и често задавани въпроси, тъй като там се съдържа необходимата информация за надстройка до последната „чиста“ версия на техния софтуер. Microsoft също публикува списък с деветнадесет злонамерени DLL файла SolarWinds.Orion.Core.BusinessLayer.dll, забелязани в пространството. 
И накрая, изследователите по сигурността пуснаха различни инструменти, които ви позволяват да проверите дали сте били компрометирани или какви идентификационни данни са били съхранени във вашата инсталация на SolarWinds Orion.
Изходният код за двата проекта се публикува в GitHub. Силно се препоръчваме да прегледате изходния код, ако е наличен, на всяка програма, която планирате да стартирате във вашата мрежа.
 
Източник: e-security.bg

Подобни публикации

18 септември 2024

D-Link обяви кръпки за множество уязвимости с к...

Тайванският производител на мрежов хардуер D-Link обяви в понеделни...
18 септември 2024

Tenable сподели подробности за метод за атака ч...

Tenable сподели подробности за метод за атака чрез объркване на зав...
18 септември 2024

Element Security излиза на сцената с решение CT...

Израелският стартъп Element Security наскоро излезе от скрит режим ...
18 септември 2024

BlackCloak набира 17 милиона долара за защита н...

Фирмата за киберсигурност и защита на личните данни BlackCloak обяв...
18 септември 2024

Китаец е използвал спиър фишинг, за да получи с...

В понеделник САЩ обявиха обвинения срещу китайски гражданин, за ког...
17 септември 2024

Скорошните уязвимости на WhatsUp Gold са използ...

Две критични уязвимости, поправени наскоро в продукта WhatsUp Gold ...
Бъдете социални
Още по темата
12/09/2024

PIXHELL позволява прескачан...

Изследовател е представил подробности за нов...
12/09/2024

Пробив на KemperSports зас...

Тази седмица компанията за управление на...
11/09/2024

Darkhive набира 21 млн. дол...

Базираният в Сан Антонио, Тексас, производител...
Последно добавени
18/09/2024

D-Link обяви кръпки за множ...

Тайванският производител на мрежов хардуер D-Link...
18/09/2024

Tenable сподели подробности...

Tenable сподели подробности за метод за...
18/09/2024

Element Security излиза на ...

Израелският стартъп Element Security наскоро излезе...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!