Откакто атаката на веригата  SolarWinds беше разкрита миналата неделя, се появи вихър от новини, технически подробности и анализи, публикувани за хака. Тъй като количеството информация, което беше публикувано за толкова кратко време, определено е огромно, решихме да обобщим всичко от  новините за SolarWinds през седмицата.

Информацията е побрана  във формат, който, надяваме се, ще обясни атаката, кои са нейните жертви и какво е известно до този момент.

Верижната атака  SolarWinds

Докато научихме за атаката на SolarWinds на 13 декември, първото разкриване на последиците от нея беше направено на 8 декември, когато водещата компания за киберсигурност FireEye разкри, че е била хакната от спонсорирана от държава  APT група, за което вече писахме. Като част от тази атака, авторите на  заплахата откраднаха инструментите за оценка на Red Team, които FireEye използва, за да изследва сигурността на своите клиенти. Не беше известно как хакерите са получили достъп до мрежата на FireEye до неделя, 13 декември 2020г., когато Microsoft, FireEye, SolarWinds и правителството на САЩ публикуваха координиран доклад, че SolarWinds са били хакнати от финансирани от държава автори на заплахи, за които се смята, че са част от руския SVR. Един от клиентите на SolarWinds, който пострада от тази атака, е FireEye. Като част от атаката, авторите на  заплахата получиха достъп до системата за изграждане на SolarWinds Orion и добавиха задна врата към законния DLL файл SolarWinds.Orion.Core.BusinessLayer.dll След това тази DLL се разпространява на клиентите на SolarWinds в атака на веригата за доставки чрез платформа за автоматично актуализиране, използвана за изтласкване на нови актуализации на софтуера.

Не е известно какви задачи са били изпълнени, но това може да бъде всичко от предоставяне на отдалечен достъп на участниците в заплахата, изтегляне и инсталиране на допълнителни зловредни програми или кражба на данни. Microsoft публикува техническа справка в петък за тези, които се интересуват от техническите аспекти на задната врата на SunBurst.

Доклад на Ким Зетер, публикуван в петък вечерта, показва, че авторите на заплахата може да са извършили суха тренировка на метода на разпространение още през октомври 2019г. По време на този сух пробег  DLL се разпространява без злонамерената задна врата SunBurst. След като хакерите са започнали да разпространяват задната врата през март 2020 г., изследователите смятат, че нападателите в продължение на месеци мълчаливо са изчаквали в някои от компрометираните мрежи, докато събират информация или извършват друга злонамерена дейност. В доклада на Зетер се посочва, че FireEye в крайна сметка са открили, че са били хакнати, след като хакерите са се регистрирали устройство в системата на компанията с многофакторно удостоверяване (MFA), използвайки откраднати идентификационни данни. Едва след като системата предупредила служителя и екипа за сигурност на това неизвестно устройство, FireEye осъзнали, че те са били компрометирани.

Понастоящем FireEye проследява хакерите зад тази кампания като UNC2452, докато базираната във Вашингтон фирма за киберсигурност Volexity свързва тази дейност с хакер, който проследява под прозвището Dark Halo. Volexity казва, че хакерите от Dark Halo са координирали злонамерени кампании между края на 2019 г. и юли 2020 г., насочвайки и успешно компрометирайки същия базиран в САЩ мозъчен тръст три пъти подред. „В първоначалния инцидент Volexity намери множество инструменти, задни врати и импланти на зловреден софтуер, които позволиха на нападателя да остане неоткрит в продължение на няколко години“, каза компанията. При втората атака, след като беше изхвърлен от мрежата на жертвата, Dark Halo използва новоразкрита грешка на сървъра на Microsoft Exchange, която им помогна да заобиколят защитите на Duo за многофакторно удостоверяване (MFA) за неоторизиран достъп до имейл чрез Outlook Web App (OWA) обслужване. По време на третата атака, насочена към същия мозъчен тръст, авторът на заплахата използва атаката на веригата за доставки SolarWinds, за да разгърне същия Backdoor Dark Halo, използван за пробиване на мрежите на FireEye и няколко американски правителствени агенции. Непотвърдени медийни съобщения също цитират източници, свързващи атаките с APT29 (известен още като Cozy Bear), финансирана от държавата хакерска група, свързана с руската служба за външно разузнаване (SVR). Понастоящем изследователите, включително FireEye, Microsoft или Volexity, не са приписали тези атаки на APT29.

Руското посолство в САЩ реагира на тези съобщения в медиите, казвайки, че те са „неоснователен опит на американските медии да обвинят Русия за хакерски атаки срещу правителствени органи на САЩ“. „Русия не извършва нападателни операции в кибер пространството“, добави посолството.

Докато Русия продължава да отрича тези атаки, държавният секретар Майк Помпео заяви в интервю, публикувано в петък вечерта, че е „доста ясно“, че Русия стои зад тази атака. „Това беше много значително усилие и мисля, че е така, че сега можем да кажем доста ясно, че именно руснаците са се ангажирали с тази дейност“, каза Помпео пред радиоводещия Марк Левин.

Жертвите

Изследователите смятат, че злонамерената DLL е била изтласкана на приблизително 18 000 клиенти като част от тази атака. Хакерите обаче се насочват само към организации, които те възприемат като такива с „висока стойност“, така че въпреки че някои от тези клиенти може да са получили DLL, не е известно дали те са били активно таргетирани при допълнителни атаки. Понастоящем известният списък на организациите, които бяха засегнати от атаката на веригата за доставки SolarWinds, включва:

• FireEye
• Министерство на финансите на САЩ
• Национална администрация за телекомуникации и информация на САЩ (NTIA)
• Държавен департамент на САЩ
• Националните здравни институти (NIH) (част от Министерството на здравеопазването на САЩ)
• Министерство на вътрешната сигурност на САЩ (DHS)
• Министерство на енергетиката на САЩ (DOE)
• Национална администрация по ядрена сигурност на САЩ (NNSA)
• Някои щати на САЩ (конкретни щати не са разкрити)
• Microsoft
• Cisco

Microsoft също е идентифицирала и уведомила повече от 40 свои клиенти, засегнати от тази атака, но не е разкрила имената им. Те заявяват, че 80% от жертвите са от САЩ, а 44% са от ИТ сектора.

Въз основа на декодирането на поддомейни, генерирани от алгоритъма за генериране на злонамерен софтуер (DGA), много известни компании могат да разкрият целенасочени атаки на по-късна дата.

Какво правят  производителите на продукти и услуги за киберсигурност за защита на жертвите

Откакто кибератаката беше разкрита,  производителите на софтуер за киберсигурност  добавиха злонамерените бекдор бинарни файлове на SunBurst към своите открития. Докато Microsoft вече откриваше и предупреждаваше клиенти за злонамерени двоични файлове на SolarWinds, те не ги поставяха под карантина от опасения, че това може да засегне мрежовите услуги на организациите. На 16 декември, в 8:00 ч. PST, Microsoft Defender започна да поставя под карантина откритите двоични файлове, дори когато процесът се изпълнява. Microsoft, FireEye и GoDaddy също си сътрудничат за създаването на превключвател за убиване на задната врата на SunBurst, разпространяван в хака на  SolarWinds. Когато злонамерените двоични файлове се опитват да се свържат със сървърите за управление , те ще изпълнят DNS резолюция, за да получат IP адреса. Ако този IP адрес е част от определени IP диапазони, включително такива, собственост на Microsoft, задната вратичка ще се прекрати и ще попречи на нейното повторно изпълнение. За да създаде превключвателя за убиване, GoDaddy създаде заместваща DNS резолюция, така че всеки поддомейн на avsvmcloud [.] Com да се раздели на IP адреса 20.140.0.1, който принадлежи на Microsoft и е в списъка за блокиране на зловредния софтуер. Тази разделителна способност  е илюстрирана с DNS справка за измислен поддомейн, както е показано по-долу

.

Тъй като този IP адрес е част от блокиращия списък на зловредния софтуер, когато се свърже с който и да е поддомейн на avsvmcloud [.] Com, той ще се разтовари и вече няма да се изпълнява.

Докато този превключвател за убиване ще деактивира бекдор разположенията на SunBurst, свързващи сървърите за управление, FireEye заяви, че хакерите може да са разположили други задни врати.

Как да проверите дали сте били пробити

Ако сте потребител на продукти на SolarWinds, трябва незабавно да се консултирате с техните съвети  и често задавани въпроси, тъй като там се съдържа необходимата информация за надстройка до последната „чиста“ версия на техния софтуер. Microsoft също публикува списък с деветнадесет злонамерени DLL файла SolarWinds.Orion.Core.BusinessLayer.dll, забелязани в пространството. 

И накрая, изследователите по сигурността пуснаха различни инструменти, които ви позволяват да проверите дали сте били компрометирани или какви идентификационни данни са били съхранени във вашата инсталация на SolarWinds Orion.

– Издание на SolarFlare: Дъмпер за парола за SolarWinds Orion

– Инструментът за уязвимост на Orion на SpearTip SolarWinds ’SunScreen – SPF 10

Изходният код за двата проекта се публикува в GitHub. Силно се препоръчваме да прегледате изходния код, ако е наличен, на всяка програма, която планирате да стартирате във вашата мрежа.