Что такое атака SolarWinds и пострадали ли я?

К концу 2020 года в сфере безопасности доминировало одно имя: SolarWinds.

Злоумышленники использовали программное обеспечение SolarWinds как точку перехода к другим целям в процессе, известном как атака цепочки поставок.

Результатом стали десятки тысяч жертв, утечки данных в нескольких государственных учреждениях и слушания в Конгрессе с участием некоторых из ведущих специалистов в области технологий и безопасности, включая Microsoft, FireEye и CrowdStrike.

Так что же такое SolarWinds? Что произошло во время одной из крупнейших кибератак за последнее время?

Что такое SolarWinds?

SolarWinds – известная компания, которая разрабатывает и поставляет инструменты управления системами. Среди его клиентов – сотни компаний из списка Fortune 500, а также многочисленные правительственные учреждения США и других стран.

SolarWinds разрабатывает и распространяет систему управления под названием Orion. Компании могут использовать Orion для управления ИТ-ресурсами, выполнения административных функций, мониторинга на месте и за его пределами и т. Д.

Программное обеспечение SolarWinds Orion находится в центре атаки SolarWinds.

Что случилось с программным обеспечением SolarWinds Orion?

У SolarWinds Orion более 33 000 клиентов. Каждый из этих клиентов получает обновления программного обеспечения непосредственно от SolarWinds, которая рассылает обновления в реальном времени клиентам. Заказчик Orion устанавливает обновление по прибытии, и все продолжает работать в обычном режиме.

В начале 2020 года группа хакеров незаметно взломала инфраструктуру SolarWinds и добавила вредоносный код в пакет обновления SolarWinds Orion. Когда обновление было распространено среди тысяч клиентов SolarWinds Orion, вредоносные файлы ушли вместе с ним.

Как только обновление попало в сети клиентов, оставалось только дождаться, пока клиент установит вредоносные файлы, создавая при этом бэкдор в их сети.

Троянская версия программного обеспечения Orion была установлена ​​на тысячах компьютеров во множестве известных сетей. Это основная часть атаки на цепочку поставок. Поставщик, имеющий доступ к другим сетям, идентифицируется и подвергается атаке, но не является единственной целью. Злоумышленники используют поставщика как стартовую площадку для проникновения в сети других целей.

Продукты Microsoft также подвергаются атакам на цепочки поставок

SolarWinds была не единственной технологической компанией, продукты которой подверглись атаке на цепочку поставок. Microsoft стала жертвой общей атаки, но реселлеры и дистрибьюторы продуктов Microsoft также стали жертвами взлома других связанных сетей.

Сначала злоумышленники попытались напрямую получить доступ к инфраструктуре Microsoft Office 365. Но когда они потерпели неудачу, внимание было обращено на реселлеров Microsoft. По крайней мере, один поставщик облачных услуг Microsoft стал мишенью и использовался в качестве трамплина в другие сети.

Другая уязвимость продукта Microsoft, на этот раз в веб-приложении Outlook, позволила злоумышленникам обойти двухфакторную проверку подлинности, получив доступ к личным учетным записям электронной почты, которые затем использовались для сбора данных.

Кроме того, Microsoft подтвердила, что злоумышленник получил доступ к исходному коду Windows 10 и других продуктов, хотя код не был достаточно важным, чтобы его можно было рассматривать как риск.

Кто пострадал от атаки SolarWinds?

Нападавшие нанесли удар не сразу. Получив доступ к ряду громких сетей, хакерская группа месяцами ждала начала второй фазы атаки.

Хакерская группа взломала SolarWinds еще в марте 2020 года, но первые подозрения о масштабах взлома появились только в декабре 2020 года, примерно девять месяцев спустя.

Ведущая компания по безопасности FireEye объявила, что они стали жертвами взлома и что злоумышленники украли некоторые из их оскорбительных хакерских инструментов. В то время нарушение FireEye не было связано с SolarWinds.

Примерно через неделю из нескольких правительственных агентств США поступил стабильный поток сообщений о бэкдор-атаке. Были взломаны Казначейство США и Национальное управление по ядерной безопасности, а также министерства внутренней безопасности, государства, обороны, торговли и энергетики, а также части Пентагона.

В то время, говоря BBC , исследователь кибербезопасности профессор Алан Вудворд сказал:

После холодной войны это одно из потенциально крупнейших проникновений западных правительств, о которых я знаю.

Список жертв обширен, он охватывает несколько стран, многочисленные технологические компании и тысячи сетей. Такие имена, как Cisco, Intel, Nvidia, Microsoft, MediaTek, Malwarebytes и Mimecast, пострадали от взломов.

Связанный: Microsoft блокирует вредоносное ПО Sunburst в корне взлома SolarWinds

Чем закончилась атака SolarWinds?

Как и следовало ожидать от атаки такого размера, это было не так просто щелкнуть переключателем и отключить взлом SolarWinds.

Во-первых, SolarWinds не была универсальной атакой. Хотя SolarWinds Orion был основной пусковой площадкой для целевых сетей, злоумышленники использовали свое время для создания серии уникальных типов вредоносных программ, соединенных вместе с другими ранее невиданными эксплойтами после получения доступа.

Блог по безопасности Microsoft предоставляет подробное объяснение того, как работают некоторые из этих типов вредоносных программ, но вы можете прочитать краткий обзор ниже:

• GoldMax: GoldMax написан на Go и действует как бэкдор управления и контроля, скрывающий вредоносные действия на целевом компьютере. Как было обнаружено с помощью атаки SolarWinds, GoldMax может генерировать ложный сетевой трафик, чтобы замаскировать свой вредоносный сетевой трафик, придавая ему видимость обычного трафика.
• Sibot: Sibot – это вредоносная программа двойного назначения на основе VBScript, которая поддерживает постоянное присутствие в целевой сети, а также загружает и выполняет вредоносную полезную нагрузку. Microsoft отмечает, что существует три варианта вредоносной программы Sibot, каждая из которых имеет немного разные функции.
• GoldFinder: это вредоносное ПО также написано на Go. Microsoft считает, что он «использовался как специальный инструмент отслеживания HTTP» для регистрации адресов серверов и другой инфраструктуры, задействованной в кибератаке.

Как только Microsoft и другие компании по безопасности узнают достаточно о типах вредоносных программ, они могут попытаться заблокировать их использование. Только после этого можно начинать полную очистку.

Блог Microsoft Security также предоставляет еще один важный фрагмент, касающийся «конца» атаки SolarWinds:

С учетом установленного этим субъектом паттерна использования уникальной инфраструктуры и инструментов для каждой цели, а также эксплуатационной ценности поддержания их устойчивости в скомпрометированных сетях, вероятно, что дополнительные компоненты будут обнаружены по мере продолжения нашего расследования действий этого злоумышленника.

Кто стоял за атакой SolarWinds?

Большой вопрос: кто это был? Какая хакерская группа обладает навыками для совершения одного из самых масштабных и передовых взломов в истории?

Технологические компании и правительство США прямо указывают пальцем на поддерживаемую российским правительством хакерскую группу, хотя группу с конкретным названием по-прежнему трудно найти.

Это может означать печально известную хакерскую группу Cozy Bear (APT29). Компания по безопасности Kaspersky заявила, что некоторые образцы вредоносного ПО напоминают вредоносное ПО, используемое хакерскими атаками, известными как Turla, у которых есть ссылки на российскую федеральную службу безопасности, ФСБ. Несколько официальных лиц США официально обвинили Россию или хакерскую группу, находящуюся под влиянием России.

Выступая на слушаниях в Сенате США по поводу кибератаки , президент Microsoft Брэд Смит также заявил, что за атакой стоит Россия. Он также повторил, что Microsoft «продолжает расследование, поскольку мы не верим, что все векторы цепочки поставок еще обнаружены или обнародованы».

Выступившие на слушаниях руководители других технологических компаний – CrowdStrike, FireEye и SolarWinds – сделали аналогичные заявления.

Однако без подтверждения или убийственного доказательства, которое может раскрыть правительство США, это утверждение остается сильным. Как видно из приведенного выше твита, CISA все еще хранит доказательства, но не может их раскрыть, чтобы не сжечь контакты, источники и, возможно, продолжающееся расследование нападения.

SolarWinds закончился?

По мнению Microsoft, это может быть не так. Но правда в том, что с атакой такого рода, которая в разной степени нарушила так много разных сетей, мы, вероятно, никогда не узнаем истинных масштабов SolarWinds.

Вероятно, есть компании, которые были взломаны, но их сеть была сочтена недостаточной по стоимости для продолжения эксплуатации, и таковы навыки хакерской группы, они, возможно, не оставили следов проникновения.

В этом SolarWinds не собирались устраивать сцены и встряхивать вещи. Это была полная противоположность: тщательно спланированная, требующая огромного количества точных движений для синхронной работы, чтобы избежать обнаружения.

Это, безусловно, открывает диалог об ответственном раскрытии уязвимостей, сообщениях об ошибках и других способах усиления протоколов безопасности против таких атак.

Стоит ли мне беспокоиться о SolarWinds?

Что касается обычных потребителей, таких как мы с вами, это намного выше нашего уровня оплаты труда.

Атаки такого рода обычно не затрагивают обычных потребителей, по крайней мере, напрямую, как фишинговая атака или установка вредоносного ПО на ваш компьютер.