ВСИЧКО ЗА КИБЕРАТАКАТА SOLAR WINDS

Откакто атаката на веригата  SolarWinds беше разкрита миналата неделя, се появи вихър от новини, технически подробности и анализи, публикувани за хака. Тъй като количеството информация, което беше публикувано за толкова кратко време, определено е огромно, решихме да обобщим всичко от  новините за SolarWinds през седмицата.

Информацията е побрана  във формат, който, надяваме се, ще обясни атаката, кои са нейните жертви и какво е известно до този момент.

Верижната атака  SolarWinds

Докато научихме за атаката на SolarWinds на 13 декември, първото разкриване на последиците от нея беше направено на 8 декември, когато водещата компания за киберсигурност FireEye разкри, че е била хакната от спонсорирана от държава  APT група, за което вече писахме. Като част от тази атака, авторите на  заплахата откраднаха инструментите за оценка на Red Team, които FireEye използва, за да изследва сигурността на своите клиенти. Не беше известно как хакерите са получили достъп до мрежата на FireEye до неделя, 13 декември 2020г., когато Microsoft, FireEye, SolarWinds и правителството на САЩ публикуваха координиран доклад, че SolarWinds са били хакнати от финансирани от държава автори на заплахи, за които се смята, че са част от руския SVR. Един от клиентите на SolarWinds, който пострада от тази атака, е FireEye. Като част от атаката, авторите на  заплахата получиха достъп до системата за изграждане на SolarWinds Orion и добавиха задна врата към законния DLL файл SolarWinds.Orion.Core.BusinessLayer.dll След това тази DLL се разпространява на клиентите на SolarWinds в атака на веригата за доставки чрез платформа за автоматично актуализиране, използвана за изтласкване на нови актуализации на софтуера.

Този DLL backdoor е известен като SunBurst (FireEye) или Solarigate (Microsoft), и се зарежда от програмата SolarWinds.BusinessLayerHost.exe. След като бъде зареден, той ще се свърже обратно към отдалечения сървър за управление и управление в поддомейн на avsvmcloud [.] Com за получаване на „работни места“ или задачи, които да се изпълняват на заразения компютър. DNS името на командния контролен сървър на задната врата се създава, използвайки алгоритъм за генериране на домейн (DGA), за да създаде кодиран поддомейн на avsvmcloud [.] Com. FireEye заявява, че поддомейнът се създава чрез „обединяване на потребител Id на жертва с обратимо кодиране на името на домейна на локалната машина на жертвите“ и след това се хешира. Например, поддомейнът, използван в тази атака, е ‘1btcr12b62me0buden60ceudo1uv2f0i.appsync-api.us-east-2 [.] Avsvmcloud.com.’
Доклад на Ким Зетер, публикуван в петък вечерта, показва, че авторите на заплахата може да са извършили суха тренировка на метода на разпространение още през октомври 2019г. По време на този сух пробег  DLL се разпространява без злонамерената задна врата SunBurst. След като хакерите са започнали да разпространяват задната врата през март 2020 г., изследователите смятат, че нападателите в продължение на месеци мълчаливо са изчаквали в някои от компрометираните мрежи, докато събират информация или извършват друга злонамерена дейност. В доклада на Зетер се посочва, че FireEye в крайна сметка са открили, че са били хакнати, след като хакерите са се регистрирали устройство в системата на компанията с многофакторно удостоверяване (MFA), използвайки откраднати идентификационни данни. Едва след като системата предупредила служителя и екипа за сигурност на това неизвестно устройство, FireEye осъзнали, че те са били компрометирани.
Понастоящем FireEye проследява хакерите зад тази кампания като UNC2452, докато базираната във Вашингтон фирма за киберсигурност Volexity свързва тази дейност с хакер, който проследява под прозвището Dark Halo. Volexity казва, че хакерите от Dark Halo са координирали злонамерени кампании между края на 2019 г. и юли 2020 г., насочвайки и успешно компрометирайки същия базиран в САЩ мозъчен тръст три пъти подред. „В първоначалния инцидент Volexity намери множество инструменти, задни врати и импланти на зловреден софтуер, които позволиха на нападателя да остане неоткрит в продължение на няколко години“, каза компанията. При втората атака, след като беше изхвърлен от мрежата на жертвата, Dark Halo използва новоразкрита грешка на сървъра на Microsoft Exchange, която им помогна да заобиколят защитите на Duo за многофакторно удостоверяване (MFA) за неоторизиран достъп до имейл чрез Outlook Web App (OWA) обслужване. По време на третата атака, насочена към същия мозъчен тръст, авторът на заплахата използва атаката на веригата за доставки SolarWinds, за да разгърне същия Backdoor Dark Halo, използван за пробиване на мрежите на FireEye и няколко американски правителствени агенции. Непотвърдени медийни съобщения също цитират източници, свързващи атаките с APT29 (известен още като Cozy Bear), финансирана от държавата хакерска група, свързана с руската служба за външно разузнаване (SVR). Понастоящем изследователите, включително FireEye, Microsoft или Volexity, не са приписали тези атаки на APT29.
Руското посолство в САЩ реагира на тези съобщения в медиите, казвайки, че те са „неоснователен опит на американските медии да обвинят Русия за хакерски атаки срещу правителствени органи на САЩ“. „Русия не извършва нападателни операции в кибер пространството“, добави посолството.
Докато Русия продължава да отрича тези атаки, държавният секретар Майк Помпео заяви в интервю, публикувано в петък вечерта, че е „доста ясно“, че Русия стои зад тази атака. „Това беше много значително усилие и мисля, че е така, че сега можем да кажем доста ясно, че именно руснаците са се ангажирали с тази дейност“, каза Помпео пред радиоводещия Марк Левин.

Жертвите

Изследователите смятат, че злонамерената DLL е била изтласкана на приблизително 18 000 клиенти като част от тази атака. Хакерите обаче се насочват само към организации, които те възприемат като такива с „висока стойност“, така че въпреки че някои от тези клиенти може да са получили DLL, не е известно дали те са били активно таргетирани при допълнителни атаки. Понастоящем известният списък на организациите, които бяха засегнати от атаката на веригата за доставки SolarWinds, включва:
  • FireEye
  • Министерство на финансите на САЩ
  • Национална администрация за телекомуникации и информация на САЩ (NTIA)
  • Държавен департамент на САЩ
  • Националните здравни институти (NIH) (част от Министерството на здравеопазването на САЩ)
  • Министерство на вътрешната сигурност на САЩ (DHS)
  • Министерство на енергетиката на САЩ (DOE)
  • Национална администрация по ядрена сигурност на САЩ (NNSA)
  • Някои щати на САЩ (конкретни щати не са разкрити)
  • Microsoft
  • Cisco
Microsoft също е идентифицирала и уведомила повече от 40 свои клиенти, засегнати от тази атака, но не е разкрила имената им. Те заявяват, че 80% от жертвите са от САЩ, а 44% са от ИТ сектора.
Въз основа на декодирането на поддомейни, генерирани от алгоритъма за генериране на злонамерен софтуер (DGA), много известни компании могат да разкрият целенасочени атаки на по-късна дата.
Тъй като този IP адрес е част от блокиращия списък на зловредния софтуер, когато се свърже с който и да е поддомейн на avsvmcloud [.] Com, той ще се разтовари и вече няма да се изпълнява.
Докато този превключвател за убиване ще деактивира бекдор разположенията на SunBurst, свързващи сървърите за управление, FireEye заяви, че хакерите може да са разположили други задни врати.

Как да проверите дали сте били пробити

Ако сте потребител на продукти на SolarWinds, трябва незабавно да се консултирате с техните съвети  и често задавани въпроси, тъй като там се съдържа необходимата информация за надстройка до последната „чиста“ версия на техния софтуер. Microsoft също публикува списък с деветнадесет злонамерени DLL файла SolarWinds.Orion.Core.BusinessLayer.dll, забелязани в пространството. 
И накрая, изследователите по сигурността пуснаха различни инструменти, които ви позволяват да проверите дали сте били компрометирани или какви идентификационни данни са били съхранени във вашата инсталация на SolarWinds Orion.
Изходният код за двата проекта се публикува в GitHub. Силно се препоръчваме да прегледате изходния код, ако е наличен, на всяка програма, която планирате да стартирате във вашата мрежа.
 
Източник: e-security.bg

Подобни публикации

8 декември 2022

Устойчиви ли са криптовалутите?

Инвестирането в криптовалути през годините донесе богатство на мноз...
6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
30 ноември 2022

Уязвимост на Hyundai позволява хакване на ключ...

Изследователи са открили недостатъци в редица приложения, свързани ...
28 ноември 2022

Поредна глоба за Meta

Ирландската комисия за защита на данните (DPC) наложи глоба на Meta...
28 ноември 2022

Социалните медии трябва да престанат да копират...

Интернет не е само за тийнейджъри. Когато поколението Z навлезе в м...
Бъдете социални
Още по темата
25/11/2022

Арестуваха 142 души при гло...

В резултат на координирани усилия на...
20/11/2022

Какво представлява DDoS?

Много популярни марки – като Google,...
18/11/2022

Федерална агенция на САЩ е ...

Първоначалното проникване е открито през февруари,...
Последно добавени
08/12/2022

Устойчиви ли са криптовалут...

Инвестирането в криптовалути през годините донесе...
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!