Откакто атаката на веригата  SolarWinds беше разкрита миналата неделя, се появи вихър от новини, технически подробности и анализи, публикувани за хака. Тъй като количеството информация, което беше публикувано за толкова кратко време, определено е огромно, решихме да обобщим всичко от  новините за SolarWinds през седмицата.

Информацията е побрана  във формат, който, надяваме се, ще обясни атаката, кои са нейните жертви и какво е известно до този момент.

Верижната атака  SolarWinds

Докато научихме за атаката на SolarWinds на 13 декември, първото разкриване на последиците от нея беше направено на 8 декември, когато водещата компания за киберсигурност FireEye разкри, че е била хакната от спонсорирана от държава  APT група, за което вече писахме. Като част от тази атака, авторите на  заплахата откраднаха инструментите за оценка на Red Team, които FireEye използва, за да изследва сигурността на своите клиенти. Не беше известно как хакерите са получили достъп до мрежата на FireEye до неделя, 13 декември 2020г., когато Microsoft, FireEye, SolarWinds и правителството на САЩ публикуваха координиран доклад, че SolarWinds са били хакнати от финансирани от държава автори на заплахи, за които се смята, че са част от руския SVR. Един от клиентите на SolarWinds, който пострада от тази атака, е FireEye. Като част от атаката, авторите на  заплахата получиха достъп до системата за изграждане на SolarWinds Orion и добавиха задна врата към законния DLL файл SolarWinds.Orion.Core.BusinessLayer.dll След това тази DLL се разпространява на клиентите на SolarWinds в атака на веригата за доставки чрез платформа за автоматично актуализиране, използвана за изтласкване на нови актуализации на софтуера.

Този DLL backdoor е известен като SunBurst (FireEye) или Solarigate (Microsoft), и се зарежда от програмата SolarWinds.BusinessLayerHost.exe. След като бъде зареден, той ще се свърже обратно към отдалечения сървър за управление и управление в поддомейн на avsvmcloud [.] Com за получаване на „работни места“ или задачи, които да се изпълняват на заразения компютър. DNS името на командния контролен сървър на задната врата се създава, използвайки алгоритъм за генериране на домейн (DGA), за да създаде кодиран поддомейн на avsvmcloud [.] Com. FireEye заявява, че поддомейнът се създава чрез „обединяване на потребител Id на жертва с обратимо кодиране на името на домейна на локалната машина на жертвите“ и след това се хешира. Например, поддомейнът, използван в тази атака, е ‘1btcr12b62me0buden60ceudo1uv2f0i.appsync-api.us-east-2 [.] Avsvmcloud.com.’
Доклад на Ким Зетер, публикуван в петък вечерта, показва, че авторите на заплахата може да са извършили суха тренировка на метода на разпространение още през октомври 2019г. По време на този сух пробег  DLL се разпространява без злонамерената задна врата SunBurst. След като хакерите са започнали да разпространяват задната врата през март 2020 г., изследователите смятат, че нападателите в продължение на месеци мълчаливо са изчаквали в някои от компрометираните мрежи, докато събират информация или извършват друга злонамерена дейност. В доклада на Зетер се посочва, че FireEye в крайна сметка са открили, че са били хакнати, след като хакерите са се регистрирали устройство в системата на компанията с многофакторно удостоверяване (MFA), използвайки откраднати идентификационни данни. Едва след като системата предупредила служителя и екипа за сигурност на това неизвестно устройство, FireEye осъзнали, че те са били компрометирани.
Понастоящем FireEye проследява хакерите зад тази кампания като UNC2452, докато базираната във Вашингтон фирма за киберсигурност Volexity свързва тази дейност с хакер, който проследява под прозвището Dark Halo. Volexity казва, че хакерите от Dark Halo са координирали злонамерени кампании между края на 2019 г. и юли 2020 г., насочвайки и успешно компрометирайки същия базиран в САЩ мозъчен тръст три пъти подред. „В първоначалния инцидент Volexity намери множество инструменти, задни врати и импланти на зловреден софтуер, които позволиха на нападателя да остане неоткрит в продължение на няколко години“, каза компанията. При втората атака, след като беше изхвърлен от мрежата на жертвата, Dark Halo използва новоразкрита грешка на сървъра на Microsoft Exchange, която им помогна да заобиколят защитите на Duo за многофакторно удостоверяване (MFA) за неоторизиран достъп до имейл чрез Outlook Web App (OWA) обслужване. По време на третата атака, насочена към същия мозъчен тръст, авторът на заплахата използва атаката на веригата за доставки SolarWinds, за да разгърне същия Backdoor Dark Halo, използван за пробиване на мрежите на FireEye и няколко американски правителствени агенции. Непотвърдени медийни съобщения също цитират източници, свързващи атаките с APT29 (известен още като Cozy Bear), финансирана от държавата хакерска група, свързана с руската служба за външно разузнаване (SVR). Понастоящем изследователите, включително FireEye, Microsoft или Volexity, не са приписали тези атаки на APT29.
Руското посолство в САЩ реагира на тези съобщения в медиите, казвайки, че те са „неоснователен опит на американските медии да обвинят Русия за хакерски атаки срещу правителствени органи на САЩ“. „Русия не извършва нападателни операции в кибер пространството“, добави посолството.
Докато Русия продължава да отрича тези атаки, държавният секретар Майк Помпео заяви в интервю, публикувано в петък вечерта, че е „доста ясно“, че Русия стои зад тази атака. „Това беше много значително усилие и мисля, че е така, че сега можем да кажем доста ясно, че именно руснаците са се ангажирали с тази дейност“, каза Помпео пред радиоводещия Марк Левин.

Жертвите

Изследователите смятат, че злонамерената DLL е била изтласкана на приблизително 18 000 клиенти като част от тази атака. Хакерите обаче се насочват само към организации, които те възприемат като такива с „висока стойност“, така че въпреки че някои от тези клиенти може да са получили DLL, не е известно дали те са били активно таргетирани при допълнителни атаки. Понастоящем известният списък на организациите, които бяха засегнати от атаката на веригата за доставки SolarWinds, включва:
  • FireEye
  • Министерство на финансите на САЩ
  • Национална администрация за телекомуникации и информация на САЩ (NTIA)
  • Държавен департамент на САЩ
  • Националните здравни институти (NIH) (част от Министерството на здравеопазването на САЩ)
  • Министерство на вътрешната сигурност на САЩ (DHS)
  • Министерство на енергетиката на САЩ (DOE)
  • Национална администрация по ядрена сигурност на САЩ (NNSA)
  • Някои щати на САЩ (конкретни щати не са разкрити)
  • Microsoft
  • Cisco
Microsoft също е идентифицирала и уведомила повече от 40 свои клиенти, засегнати от тази атака, но не е разкрила имената им. Те заявяват, че 80% от жертвите са от САЩ, а 44% са от ИТ сектора.
Въз основа на декодирането на поддомейни, генерирани от алгоритъма за генериране на злонамерен софтуер (DGA), много известни компании могат да разкрият целенасочени атаки на по-късна дата.
Тъй като този IP адрес е част от блокиращия списък на зловредния софтуер, когато се свърже с който и да е поддомейн на avsvmcloud [.] Com, той ще се разтовари и вече няма да се изпълнява.
Докато този превключвател за убиване ще деактивира бекдор разположенията на SunBurst, свързващи сървърите за управление, FireEye заяви, че хакерите може да са разположили други задни врати.

Как да проверите дали сте били пробити

Ако сте потребител на продукти на SolarWinds, трябва незабавно да се консултирате с техните съвети  и често задавани въпроси, тъй като там се съдържа необходимата информация за надстройка до последната „чиста“ версия на техния софтуер. Microsoft също публикува списък с деветнадесет злонамерени DLL файла SolarWinds.Orion.Core.BusinessLayer.dll, забелязани в пространството. 
И накрая, изследователите по сигурността пуснаха различни инструменти, които ви позволяват да проверите дали сте били компрометирани или какви идентификационни данни са били съхранени във вашата инсталация на SolarWinds Orion.
Изходният код за двата проекта се публикува в GitHub. Силно се препоръчваме да прегледате изходния код, ако е наличен, на всяка програма, която планирате да стартирате във вашата мрежа.
 
Източник: e-security.bg

Подобни публикации

12 февруари 2025

Deepfake, изкуствен интелект, регулации - опред...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на Полиграфическия комбина...
12 февруари 2025

Несправедливата реалност на киберинцидентите

Неотдавна мой чудесен колега се контузи доста тежко по време на зим...
12 февруари 2025

SAP пуска 21 кръпки за сигурност

Производителят на корпоративен софтуер SAP обяви във вторник пускан...
12 февруари 2025

Intel поправи 374 уязвимости през 2024 г.

През календарната 2024 г. Intel е поправила общо 374 уязвимости в с...
11 февруари 2025

Ключови фигури от Phobos и 8Base са арестувани ...

Координирана международна акция на правоприлагащите органи миналата...
11 февруари 2025

Поведенчески анализ в киберсигурността: Кой има...

Тъй като разходите за нарушаване на сигурността на данните продължа...
11 февруари 2025

120 хил. жертви са компрометирани при атака с р...

В Бейнбридж, щата Джорджия, малката болница Memorial Hospital and M...
Бъдете социални
Още по темата
11/02/2025

120 хил. жертви са компроме...

В Бейнбридж, щата Джорджия, малката болница...
11/02/2025

Lee Enterprises се възстано...

Вестникарската компания очаква разследването да отнеме...
10/02/2025

SolarWinds ще стане частна ...

Пет години след като руска APT...
Последно добавени
12/02/2025

Deepfake, изкуствен интелек...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на...
12/02/2025

Несправедливата реалност на...

Неотдавна мой чудесен колега се контузи...
12/02/2025

SAP пуска 21 кръпки за сигу...

Производителят на корпоративен софтуер SAP обяви...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!