A szövetségi ügynökségek és a globális szervezetek egy hosszú távú, államilag támogatott kibertámadás során kerültek veszélybe. A fenyegetés szereplői ellátási lánc támadást hajtottak végre a megsértett SolarWinds szoftver segítségével. Íme, mi történt, és hogyan lehet biztonságban maradni.
Trójai szoftver
A trójai szoftver rejtett rosszindulatú terhelést hordoz. Úgy gondolja, hogy egy alkalmazást telepít, de valójában vannak olyan akadályok a telepítési rutinban, amelyeket egyszerre telepítenek. Vagy maga a telepített alkalmazás sérült, és most rosszindulatú kódot tartalmaz.
Legutóbbi példa egy vonalkódolvasó alkalmazás, amelyet eltávolítottunk a A Google Play alkalmazásbolt. A vonalkód-leolvasót több éve publikálták, és egészséges, 10 millió felhasználóval telepített bázisa volt. 2020 végén eladták egy új tulajdonosnak, az ukrán székhelyű „The Space Team” -nek.
Az alkalmazás frissítését követően a felhasználókat reklámok sújtották. Alapértelmezett böngészőjük önmagában megnyílna. A további alkalmazások letöltésére és telepítésére szolgáló linkek és gombok a képernyőn helyezkednek el. Az új tulajdonosok módosították a szkenner alkalmazás kódját, hogy rosszindulatú programokat is tartalmazzon. Az alkalmazásban bíztak azok, akik már telepítették, így a frissítés nem okoz aggodalmat. De a hibajavításokat és az új szolgáltatásokat váró frissítés valóban veszélyeztette a készüléküket. Az eddig ártatlan vonalkód-leolvasó most trójai volt.
A vonalkódolvasó alkalmazást jó fenyegetésként emelték ki a fenyegetés szereplői. Erős felhasználói bázisa kényelmesebb szállítási mechanizmussá tette, hogy akár 10 millió okostelefonra dobhassák kártevő programjaikat. Megvették az alkalmazást, módosították a kódját, és frissítésként elküldték. Feltehetően az alkalmazás megvásárlásának költségét az átverés működési költségének tekintették, amelyet meg kell téríteni bűnözői profitjukból. A fenyegetett szereplők számára valószínűleg olcsó és egyszerű módszer volt elérni 10 millió okostelefont.
A SolarWinds megsértése
A SolarWinds a hack hasonló, de egy teljesen más ligában. A SolarWinds felügyeleti és felügyeleti szoftvereket hoz létre és ad el vállalati hálózatokhoz. Annak érdekében, hogy a rendszeradminisztrátorok részletes és részletes információkat kapjanak a felelős informatikai erőforrások hatékonyságának fenntartásához, a SolarWinds szoftverhez rendkívül privilegizált hozzáférési jogok szükségesek a hálózathoz.
Csakúgy, mint a vonalkód-leolvasó esetében, a SolarWinds szoftver sem volt a cél – csak a kézbesítési mechanizmus volt. A SolarWinds Orion egy teljes informatikai veremfigyelő és jelentéskészítő eszköz. A fenyegetés szereplői kompromittálták. Titokban módosították a Dinamikus linkkönyvtár (DLL) hívott SolarWinds.Orion.Core.BusinessLayer.dll. A szennyezett DLL a SolarWinds Orion verzióiban szerepelt 2019.4-től 2020.2.1-ig HF1. Ezeket a frissítéseket 2020 március és június között adták ki. Csakúgy, mint a vonalkód-leolvasó alkalmazást, a frissítéseket a rosszindulatú programok terjesztésére is használták a meglévő ügyfelek számára. A rosszindulatú program neve SUNBURST a FireEye kiberbiztonsági kutatói.
A SolarWinds rendszereinek kezdeti megsértésének kifinomultsága, a trójai kód bonyolultsága, egy nulla napos sebezhetőség, és a kompromisszum utáni felderítés elkerülésének technikailag igényes módszerei arra utalnak, hogy az elkövetők államilag támogatottak Haladó tartós fenyegetés csoport.
Ez tovább igazolódik, ha megnézzük az áldozatok listáját. Idetartoznak az Egyesült Államok vezető ügynökségei és szövetségi szervezeti egységei, az Egyesült Államok kritikus infrastruktúráján belüli üzemeltetők, globális szervezetek és magáncégek. Az Egyesült Államok Pénzügyminisztériuma, a Belbiztonsági Minisztérium, a Külügyminisztérium, a Védelmi Minisztérium és a Kereskedelmi Minisztérium egyaránt áldozatul esett. Összesen mintegy 18 000 telepítés esett meg a megrontott frissítések hibájából.
Miután a fertőzött frissítéseket az ügyfelek hálózataira telepítették, a rosszindulatú program telepíti magát, és körülbelül két hétig szünetel. Ezután teszi HHTP kéri a fenyegetés szereplőinek szervereit, hogy kérjenek le parancsokat, amelyekre ezután reagál. Hátsó kaput biztosít a fenyegetett szereplőknek közvetlenül a fertőzött hálózatokba.
A rosszindulatú program által generált hálózati forgalmat Orion Improvement Program (OIP) protokoll forgalomnak álcázzák. Ez segít a rosszindulatú program észrevétlen maradásában. Számos típusú víruskereső, antimalware és más végpontvédő szoftverről is tud, és el tud kerülni azoktól.
A SolarWinds egyik ügyfele azonban a FireEye volt, egy jól ismert kiberbiztonsági vállalat. Amikor a FireEye-től saját szoftvereszközöket loptak el, megkezdték a vizsgálatot, amely felfedezte a rosszindulatú programot és a linket a SolarWinds-hez.
Ez egy klasszikus ellátási lánc támadás. Ahelyett, hogy azon tűnődtek volna, hogyan lehet megfertőzni az összes célszervezetet, a fenyegetés szereplői megtámadták egyik közös beszállítójukat, hátradőltek és várták a normál frissítési folyamat lefolytatását.
Az ellátási lánc értékelése
Az ellátási lánc támadásának kockázatának megfelelő felméréséhez alaposan meg kell értenie az ellátási láncot. Ez azt jelenti, hogy feltérképezzük. Fordítson különös figyelmet a hálózati hardver és szoftver szállítóira. Ha kihelyezettet használ irányított szolgáltató (MSP) tisztában kell lennie azzal, hogy nagy értékű célpontok a kiberbűnözők számára. Ha veszélyeztethetik az MSP-t, akkor az MSP valamennyi ügyfelének megvan a kulcsa a királysághoz.
Legyen figyelmes minden olyan beszállítóra, aki rendszeresen szerviz- vagy karbantartó személyzetet küld az Ön telephelyére. Ha bármilyen olyan berendezést karbantartanak, amely csatlakozik a hálózathoz, akkor valószínűleg a szervizmérnök csatlakozik a hálózathoz, amikor a helyszínen tartózkodnak. Ha a laptop sérült, mert a munkáltató hálózatát megcélozták, akkor megfertőződik. És lehet, hogy nem te vagy a számítógépes bűnöző célpontja. Talán ez a szolgáltató egyik vevője. Az ellátási lánc támadásával azonban sok más vállalat elkapja a kereszttüzet, és járulékos kárként szenved. Akár a célpont, akár nem, nem könnyíti meg az ütést, ha veszélybe kerül.
Miután meghatározta azokat a szállítókat, amelyek közvetlenül vagy közvetve érintik a hálózatot, kockázatértékelést végezhet. Az egyes beszállítókat felváltva mennyire valószínű, hogy hasznosak lennének az ellátási lánc támadásában. Mit nyernek az internetes bűnözők? Kik a szolgáltató további ügyfelei? Van-e közülük vonzó célpont az állam által támogatott APT-csoport számára? A hírszerző ügynökségek, bármi, ami a katonasághoz, a kritikus infrastruktúrához vagy a kormányzati szervekhez kapcsolódik, nagy kockázatú célpontok, amelyeket az APT megpróbálhat elcsípni egy ellátási lánc támadással.
A másik oldal: a hírszerző ügynökségek, a katonaság és a kormány szállítási szerződéseit csak azoknak a szállítóknak ítélik oda, akik bizonyítani tudják, hogy biztonságosan működnek és hatékony kiberbiztonsággal rendelkeznek. Kivételes körülmények között – és különösen akkor, ha nulla napos sebezhetőség áll fenn – bármely szervezet megsérülhet. Ez történt a SolarWinds-szel.
Beszélje meg céljait és aggályait szállítóival. Bizonyíthatnak-e tanúsítást vagy a szabványok betartását a kiberbiztonság vonatkozásában? Felfedik-e a kiberbiztonsági eseményekről és az események kezeléséről szóló nyilvántartásukat? Hogyan működhet együtt a biztonságos működés biztosítása érdekében a folyamatos kereskedelmi kapcsolataiban?
Az új beszállítók ellenőrzésének általános eljárássá kell válnia, és legalább a meglévő beszállítók éves ellenőrzésévé kell válnia. Ha túl messze vannak az utazáshoz, küldjenek nekik legalább egy sor kérdést, és kérjék meg őket, hogy töltsék ki és igazolják, hogy igaz, amit mondanak.
Amellett, hogy megvédi magát az ellátási lánc támadásától, figyelembe kell vennie az ellátási lánc összeomlásának kockázatát a kibertámadás miatt – függetlenül attól, hogy közvetlenül részt vesz-e a támadásban, vagy sem. Ha az ellátási lánc kritikus szakasza összeomlik, akkor más típusú vészhelyzettel kell szembenéznie. Meg tudja szerezni az összes kritikus készletet más szolgáltatóktól? Mit tehet olyan réstermékekkel vagy szolgáltatásokkal kapcsolatban, amelyeket nem tud könnyen vagy gyorsan beszerezni máshonnan?
A kritikus vagy stratégiai ellátáshoz szükséges egyetlen, lineáris ellátási lánc helyett több párhuzamos ellátási vonal is kialakítható. Ha az egyik elszakad, a többiek folytathatják. Ez nem növeli a biztonságot, de növeli az ellátási lánc robusztusságát és tartósságát.
Egyéb lépések
Ha Ön SolarWinds ügyfél, akkor tekintse át a SolarWinds alkalmazást biztonsági tanácsadás és tegye meg a szükséges intézkedéseket. Lásd még a Belbiztonsági Minisztériumot sürgősségi irányelv és kövesse az alkalmazandó útmutatásokat.
A SUNBURST kártevő olyan technikát használt, amely lehetővé tette számára a hitelesítési tanúsítványok elérését vagy létrehozását, hogy a védett szolgáltatásokhoz hozzáférhessen. Trimarc Security megosztotta a Powershell szkript amely átvizsgálja az egytartományú Active Directory-erdőt, és jelentést tesz a talált hiányosságokról.
