Что такое атака SolarWinds? Я пострадал?

К концу 2020 года в сфере безопасности доминировало одно имя: SolarWinds.

Злоумышленники использовали программное обеспечение SolarWinds в качестве прыжка указывают на другие цели в процессе, известном как атака цепочки поставок.

Результатом стали десятки тысяч жертв, утечки данных в нескольких государственных учреждениях и слушания в Конгрессе с участием некоторых из ведущих специалистов в области технологий и безопасности, включая Microsoft, FireEye и CrowdStrike.

Так что же такое SolarWinds? Что произошло во время одной из крупнейших кибератак за последнее время?

Что такое SolarWinds?

SolarWinds — известная компания, которая разрабатывает и поставляет инструменты управления системой. Среди его клиентов — сотни компаний из списка Fortune 500, а также многочисленные правительственные учреждения США и других стран.

SolarWinds разрабатывает и распространяет систему управления под названием Orion. Компании могут использовать Orion для управления ИТ-ресурсами, выполнения административных функций, мониторинга на месте и за его пределами и т. Д.

Программное обеспечение SolarWinds Orion находится в центре атаки SolarWinds.

Что случилось с ПО SolarWinds Orion?

У SolarWinds Orion более 33 000 клиентов. Каждый из этих клиентов получает обновления программного обеспечения непосредственно от SolarWinds, которая рассылает обновления в реальном времени клиентам. Заказчик Orion устанавливает обновление по прибытии, и все продолжает работать в обычном режиме.

В начале 2020 года группа хакеров незаметно взломала инфраструктуру SolarWinds и добавила вредоносный код в пакет обновления SolarWinds Orion. Когда обновление было распространено среди тысяч клиентов SolarWinds Orion, вредоносные файлы ушли вместе с ним.

После того, как обновление попало в сети клиентов, это было просто нужно ждать, пока клиент установит вредоносные файлы, создавая при этом бэкдор в своей сети.

Троянская версия программного обеспечения Orion была установлена ​​на тысячах компьютеров в нескольких известных сетях. Это основная часть атаки на цепочку поставок. Поставщик, имеющий доступ к другим сетям, идентифицируется и подвергается атаке, но не является единственной целью. Злоумышленники используют поставщика в качестве стартовой площадки для проникновения в сети других целей..

Продукты Microsoft также подвергаются атакам на цепочки поставок

SolarWinds не единственная технологическая компания, чьи продукты были атакованы цепочкой поставок. Microsoft стала жертвой общей атаки, но реселлеры и дистрибьюторы продуктов Microsoft также стали жертвами взлома других связанных сетей.

Сначала злоумышленники попытались напрямую получить доступ к инфраструктуре Microsoft Office 365. Но когда они потерпели неудачу, внимание было обращено на реселлеров Microsoft. По крайней мере, один поставщик облачных услуг Microsoft стал мишенью и использовался в качестве трамплина в другие сети.

Другая уязвимость продукта Microsoft, на этот раз в веб-приложении Outlook, позволила злоумышленникам обойти двухфакторную проверку подлинности, получив доступ к личным учетным записям электронной почты, которые затем использовались для сбора данных.

Кроме того, Microsoft подтвердила, что злоумышленник получил доступ к исходному коду Windows 10 и других продуктов, хотя код не был достаточно важным, чтобы его можно было рассматривать как риск.

Кто пострадал от атаки SolarWinds?

Атакующие нанесли удар не сразу. Получив доступ к ряду громких сетей, хакерская группа месяцами ждала начала второй фазы атаки.

Хакерская группа взломала SolarWinds еще в марте 2020 года, но первые подозрения о масштабах взлома появились только в декабре 2020 года, примерно девять месяцев спустя.

Ведущая компания по безопасности FireEye объявила, что они стали жертвами взлома и что злоумышленники украли некоторые из их оскорбительных хакерских инструментов. В то время нарушение FireEye не было связано с SolarWinds.

Примерно через неделю из нескольких правительственных агентств США поступил постоянный поток сообщений о бэкдор-атаке. Были взломаны Казначейство США и Национальное управление по ядерной безопасности, а также министерства внутренней безопасности, государства, обороны, торговли и энергетики, а также части Пентагона.

В то время, беседуя с BBC, исследователь кибербезопасности профессор Алан Вудворд сказал:

После холодной войны, это одно из потенциально крупнейших проникновений западных правительств, о которых я знаю.

Список жертв обширен, он охватывает несколько стран, многочисленные технологические компании и тысячи сетей. Такие имена, как Cisco, Intel, Nvidia, Microsoft, MediaTek, Malwarebytes и Mimecast, пострадали от нарушений..

По теме: Microsoft блокирует вредоносное ПО Sunburst в корне взлома SolarWinds

Как закончилась атака SolarWinds?

Как и следовало ожидать от атаки такого масштаба, это было не так просто щелкнуть переключателем и закрыть брешь SolarWinds.

Прежде всего, SolarWinds не была универсальной атакой. Хотя SolarWinds Orion был основной пусковой площадкой для целевых сетей, злоумышленники использовали свое время для создания серии уникальных типов вредоносных программ, соединенных вместе с другими ранее невиданными эксплойтами после получения доступа.

Блог по безопасности Microsoft предоставляет подробное объяснение того, как работают некоторые из этих типов вредоносных программ, но вы можете прочитать короткое обзор ниже:

  • GoldMax: GoldMax написан на Go и действует как бэкдор управления и контроля, скрывающий вредоносные действия на целевом компьютере. Как было обнаружено с помощью атаки SolarWinds, GoldMax может генерировать ложный сетевой трафик, чтобы замаскировать свой вредоносный сетевой трафик, придавая ему видимость обычного трафика.
  • Sibot: Sibot — это вредоносная программа двойного назначения на основе VBScript, которая поддерживает постоянное присутствие в целевой сети, а также загружает и выполняет вредоносную полезную нагрузку. Microsoft отмечает, что существует три варианта вредоносной программы Sibot, каждая из которых имеет немного разные функции.
  • GoldFinder: Это вредоносное ПО также написано на Go. Microsoft считает, что он «использовался как специальный инструмент отслеживания HTTP» для регистрации адресов серверов и другой инфраструктуры, задействованной в кибератаке.

Как только Microsoft и другие компании, занимающиеся безопасностью, узнают достаточно о типах вредоносных программ, они могут попытаться заблокировать их использование. Только после этого можно начинать полную очистку.

Блог по безопасности Microsoft также предоставляет еще один важный фрагмент, касающийся «конца» атаки SolarWinds:

С установленным шаблоном использования уникальных инфраструктуры и инструментов для каждой цели, а также оперативную ценность поддержания их устойчивости в скомпрометированных сетях, вполне вероятно, что дополнительные компоненты будут обнаружены по мере продолжения нашего расследования действий этого злоумышленника.

Кто стоял за атакой SolarWinds?

Большой вопрос: кто это был? Какая хакерская группа обладает навыками для совершения одного из самых масштабных и передовых взломов в истории?

Технологические компании и правительство США прямо указывают пальцем на поддерживаемую российским правительством хакерскую группу, хотя группу с конкретным названием по-прежнему трудно найти..

Это может означать печально известную хакерскую группу Cozy Bear (APT29). Фирма по безопасности Kaspersky заявила, что некоторые образцы вредоносного ПО напоминают вредоносное ПО, используемое хакерскими атаками, известными как Turla, которые связаны с Федеральной службой безопасности России, ФСБ. Несколько официальных лиц США официально обвинили Россию или хакерскую группу, находящуюся под влиянием России.

Выступая на слушаниях в Сенате США по поводу кибератаки, президент Microsoft Брэд Смит также заявил, что за атакой стоит Россия. Он также повторил, что Microsoft «продолжает расследование, поскольку мы не верим, что все векторы цепочки поставок еще обнаружены или обнародованы».

Выступившие на слушаниях руководители других технологических компаний, CrowdStrike, FireEye и SolarWinds, сделали аналогичные заявления.

CISA поделился «всей имеющейся у нас информацией о SolarWinds и Exchange» на несекретном уровне, за исключением одного небольшого фрагмента, связанного с по атрибуции, — говорит Уэльс, — и, честно говоря, этот [кусок] не поможет ни одному защитнику сети улучшить свою безопасность ».

— Эрик Геллер (@ericgeller) 23 марта 2021 г.

Однако без подтверждения или убийственного доказательства, которое может раскрыть правительство США, это утверждение остается сильным. Как видно из приведенного выше твита, CISA все еще хранит доказательства, но не может их раскрыть, чтобы не сжечь контакты, источники и, возможно, продолжающееся расследование нападения.

SolarWinds закончился?

По мнению Microsoft, может и не быть. Но правда в том, что с атакой такого рода, которая в разной степени взломала так много разных сетей, мы, вероятно, никогда не узнаем истинных масштабов SolarWinds.

Вероятно, есть компании, которые были взломаны, но их сеть была признана недостаточной по стоимости для продолжения эксплуатации, и таковы навыки хакерской группы, они, возможно, не оставили следов проникновения.

В этом SolarWinds не собирался создавать сцены и встряхивать вещи. Это была полная противоположность: тщательно спланированная, требующая огромного количества точных движений для синхронной работы, чтобы избежать обнаружения.

Это, безусловно, открывает диалог об ответственном раскрытии уязвимостей, сообщениях об ошибках и других способах усиления протоколов безопасности против таких атак.

Стоит ли мне беспокоиться о SolarWinds?

Что касается обычных потребителей, таких как мы с вами, это намного выше нашего уровня оплаты.

Атаки такого рода обычно не затрагивают обычных потребителей, по крайней мере, напрямую, как фишинговая атака или кто-то, устанавливающий вредоносное ПО на ваш компьютер..

Оцените статью
oilgasindustry.ru
Добавить комментарий