Microsoft раскрыла фактическую цель кибератаки SolarWinds
Microsoft продолжает расследование получившей заголовки кибератаки SolarWinds, и появляется все больше информации о намерениях злоумышленников.
Атака, получившая название Solorigate от Microsoft (и Sunburst от компании FireEye, занимающейся кибербезопасностью), затронула множество громких целей, в частности правительственные ведомства США.
Microsoft раскрывает предполагаемую конечную цель SolarWinds
Как будто требовать скальпов, таких как Казначейство США и Министерства внутренней безопасности, Государства, обороны, энергетики и торговли, было недостаточно, недавний блог Microsoft Security указывает, что фактической целью атаки были ресурсы облачного хранилища.
Злоумышленники получили доступ к целевым сетям с помощью вредоносного обновления SolarWinds Orion. Ранее взломав SolarWinds и вставив вредоносные файлы в обновление программного обеспечения, злоумышленники получили полный доступ к сети при установке обновления.
Попав внутрь, злоумышленники имеют «небольшой риск обнаружения, поскольку подписанное приложение и двоичные файлы являются общими и считаются надежными».
Поскольку риск обнаружения был настолько низким, злоумышленники могли выбирать цели по своему усмотрению. Установив бэкдор, злоумышленники могут не торопиться, чтобы выяснить, как важно продолжать исследование сети, оставив «малоценные» сети в качестве запасного варианта.
Microsoft считает, что конечным мотивом злоумышленников было использование «бэкдор-доступа для кражи учетных данных, повышения привилегий и бокового перемещения, чтобы получить возможность создавать действительные токены SAML».
Токены SAML (Security Assertion Markup Language) – это тип ключа безопасности. Если злоумышленники могут украсть ключ подписи SAML (например, главный ключ), они могут создать и проверить токены безопасности, которые они создают, а затем использовать эти ключи с самопроверкой для доступа к службам облачного хранения и почтовым серверам.
Имея возможность создавать незаконные токены SAML, злоумышленники могут получить доступ к конфиденциальным данным без необходимости исходить от взломанного устройства или ограничиваться локальным постоянным хранением. Злоупотребляя доступом к API через существующие приложения OAuth или субъектов-служб, они могут попытаться слиться с обычным шаблоном деятельности, особенно с приложениями или субъектами-службами.
АНБ соглашается с нарушением аутентификации
Ранее в декабре 2020 года Агентство национальной безопасности выпустило официальный информационный бюллетень по кибербезопасности [PDF] под названием «Выявление злоупотреблений механизмами аутентификации». Сообщение в значительной степени подтверждает анализ Microsoft о том, что злоумышленники хотели украсть токены SAML для создания нового ключа подписи.
Субъекты используют привилегированный доступ в локальной среде, чтобы нарушить механизмы, которые организация использует для предоставления доступа к облачным и локальным ресурсам и / или для компрометации учетных данных администратора с возможностью управления облачными ресурсами.
Как блог Microsoft Security, так и рекомендации NSA по кибербезопасности содержат информацию об усилении сетевой безопасности для защиты от атак, а также о том, как сетевые администраторы могут обнаружить любые признаки проникновения.