ВСИЧКО ЗА КИБЕРАТАКАТА SOLAR WINDS

Откакто атаката на веригата  SolarWinds беше разкрита миналата неделя, се появи вихър от новини, технически подробности и анализи, публикувани за хака. Тъй като количеството информация, което беше публикувано за толкова кратко време, определено е огромно, решихме да обобщим всичко от  новините за SolarWinds през седмицата.

Информацията е побрана  във формат, който, надяваме се, ще обясни атаката, кои са нейните жертви и какво е известно до този момент.

Верижната атака  SolarWinds

Докато научихме за атаката на SolarWinds на 13 декември, първото разкриване на последиците от нея беше направено на 8 декември, когато водещата компания за киберсигурност FireEye разкри, че е била хакната от спонсорирана от държава  APT група, за което вече писахме. Като част от тази атака, авторите на  заплахата откраднаха инструментите за оценка на Red Team, които FireEye използва, за да изследва сигурността на своите клиенти. Не беше известно как хакерите са получили достъп до мрежата на FireEye до неделя, 13 декември 2020г., когато Microsoft, FireEye, SolarWinds и правителството на САЩ публикуваха координиран доклад, че SolarWinds са били хакнати от финансирани от държава автори на заплахи, за които се смята, че са част от руския SVR. Един от клиентите на SolarWinds, който пострада от тази атака, е FireEye. Като част от атаката, авторите на  заплахата получиха достъп до системата за изграждане на SolarWinds Orion и добавиха задна врата към законния DLL файл SolarWinds.Orion.Core.BusinessLayer.dll След това тази DLL се разпространява на клиентите на SolarWinds в атака на веригата за доставки чрез платформа за автоматично актуализиране, използвана за изтласкване на нови актуализации на софтуера.

Този DLL backdoor е известен като SunBurst (FireEye) или Solarigate (Microsoft), и се зарежда от програмата SolarWinds.BusinessLayerHost.exe. След като бъде зареден, той ще се свърже обратно към отдалечения сървър за управление и управление в поддомейн на avsvmcloud [.] Com за получаване на „работни места“ или задачи, които да се изпълняват на заразения компютър. DNS името на командния контролен сървър на задната врата се създава, използвайки алгоритъм за генериране на домейн (DGA), за да създаде кодиран поддомейн на avsvmcloud [.] Com. FireEye заявява, че поддомейнът се създава чрез „обединяване на потребител Id на жертва с обратимо кодиране на името на домейна на локалната машина на жертвите“ и след това се хешира. Например, поддомейнът, използван в тази атака, е ‘1btcr12b62me0buden60ceudo1uv2f0i.appsync-api.us-east-2 [.] Avsvmcloud.com.’
Доклад на Ким Зетер, публикуван в петък вечерта, показва, че авторите на заплахата може да са извършили суха тренировка на метода на разпространение още през октомври 2019г. По време на този сух пробег  DLL се разпространява без злонамерената задна врата SunBurst. След като хакерите са започнали да разпространяват задната врата през март 2020 г., изследователите смятат, че нападателите в продължение на месеци мълчаливо са изчаквали в някои от компрометираните мрежи, докато събират информация или извършват друга злонамерена дейност. В доклада на Зетер се посочва, че FireEye в крайна сметка са открили, че са били хакнати, след като хакерите са се регистрирали устройство в системата на компанията с многофакторно удостоверяване (MFA), използвайки откраднати идентификационни данни. Едва след като системата предупредила служителя и екипа за сигурност на това неизвестно устройство, FireEye осъзнали, че те са били компрометирани.
Понастоящем FireEye проследява хакерите зад тази кампания като UNC2452, докато базираната във Вашингтон фирма за киберсигурност Volexity свързва тази дейност с хакер, който проследява под прозвището Dark Halo. Volexity казва, че хакерите от Dark Halo са координирали злонамерени кампании между края на 2019 г. и юли 2020 г., насочвайки и успешно компрометирайки същия базиран в САЩ мозъчен тръст три пъти подред. „В първоначалния инцидент Volexity намери множество инструменти, задни врати и импланти на зловреден софтуер, които позволиха на нападателя да остане неоткрит в продължение на няколко години“, каза компанията. При втората атака, след като беше изхвърлен от мрежата на жертвата, Dark Halo използва новоразкрита грешка на сървъра на Microsoft Exchange, която им помогна да заобиколят защитите на Duo за многофакторно удостоверяване (MFA) за неоторизиран достъп до имейл чрез Outlook Web App (OWA) обслужване. По време на третата атака, насочена към същия мозъчен тръст, авторът на заплахата използва атаката на веригата за доставки SolarWinds, за да разгърне същия Backdoor Dark Halo, използван за пробиване на мрежите на FireEye и няколко американски правителствени агенции. Непотвърдени медийни съобщения също цитират източници, свързващи атаките с APT29 (известен още като Cozy Bear), финансирана от държавата хакерска група, свързана с руската служба за външно разузнаване (SVR). Понастоящем изследователите, включително FireEye, Microsoft или Volexity, не са приписали тези атаки на APT29.
Руското посолство в САЩ реагира на тези съобщения в медиите, казвайки, че те са „неоснователен опит на американските медии да обвинят Русия за хакерски атаки срещу правителствени органи на САЩ“. „Русия не извършва нападателни операции в кибер пространството“, добави посолството.
Докато Русия продължава да отрича тези атаки, държавният секретар Майк Помпео заяви в интервю, публикувано в петък вечерта, че е „доста ясно“, че Русия стои зад тази атака. „Това беше много значително усилие и мисля, че е така, че сега можем да кажем доста ясно, че именно руснаците са се ангажирали с тази дейност“, каза Помпео пред радиоводещия Марк Левин.

Жертвите

Изследователите смятат, че злонамерената DLL е била изтласкана на приблизително 18 000 клиенти като част от тази атака. Хакерите обаче се насочват само към организации, които те възприемат като такива с „висока стойност“, така че въпреки че някои от тези клиенти може да са получили DLL, не е известно дали те са били активно таргетирани при допълнителни атаки. Понастоящем известният списък на организациите, които бяха засегнати от атаката на веригата за доставки SolarWinds, включва:
  • FireEye
  • Министерство на финансите на САЩ
  • Национална администрация за телекомуникации и информация на САЩ (NTIA)
  • Държавен департамент на САЩ
  • Националните здравни институти (NIH) (част от Министерството на здравеопазването на САЩ)
  • Министерство на вътрешната сигурност на САЩ (DHS)
  • Министерство на енергетиката на САЩ (DOE)
  • Национална администрация по ядрена сигурност на САЩ (NNSA)
  • Някои щати на САЩ (конкретни щати не са разкрити)
  • Microsoft
  • Cisco
Microsoft също е идентифицирала и уведомила повече от 40 свои клиенти, засегнати от тази атака, но не е разкрила имената им. Те заявяват, че 80% от жертвите са от САЩ, а 44% са от ИТ сектора.
Въз основа на декодирането на поддомейни, генерирани от алгоритъма за генериране на злонамерен софтуер (DGA), много известни компании могат да разкрият целенасочени атаки на по-късна дата.
Тъй като този IP адрес е част от блокиращия списък на зловредния софтуер, когато се свърже с който и да е поддомейн на avsvmcloud [.] Com, той ще се разтовари и вече няма да се изпълнява.
Докато този превключвател за убиване ще деактивира бекдор разположенията на SunBurst, свързващи сървърите за управление, FireEye заяви, че хакерите може да са разположили други задни врати.

Как да проверите дали сте били пробити

Ако сте потребител на продукти на SolarWinds, трябва незабавно да се консултирате с техните съвети  и често задавани въпроси, тъй като там се съдържа необходимата информация за надстройка до последната „чиста“ версия на техния софтуер. Microsoft също публикува списък с деветнадесет злонамерени DLL файла SolarWinds.Orion.Core.BusinessLayer.dll, забелязани в пространството. 
И накрая, изследователите по сигурността пуснаха различни инструменти, които ви позволяват да проверите дали сте били компрометирани или какви идентификационни данни са били съхранени във вашата инсталация на SolarWinds Orion.
Изходният код за двата проекта се публикува в GitHub. Силно се препоръчваме да прегледате изходния код, ако е наличен, на всяка програма, която планирате да стартирате във вашата мрежа.
 
Източник: e-security.bg

Подобни публикации

4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
30 ноември 2023

Microsoft започва тестване на новата функция за...

Microsoft започна да тества нова функция на Windows 11 Energy Saver...
30 ноември 2023

Dollar Tree е жертва на нарушаване на сигурност...

Веригата дисконтови магазини Dollar Tree беше засегната от нарушава...
30 ноември 2023

Катарската кибер агенция провежда национални уч...

Националната агенция за киберсигурност (NCSA) на Катар проверява си...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
03/12/2023

Свалянето на Qakbot: Смекча...

Министерството на правосъдието на САЩ и...
02/12/2023

Владимир Дунаев е осъден за...

Министерството на правосъдието на САЩ обяви,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!