AVEȚI ÎNTREBĂRI? SUNAȚI LA: +40 701 136 476

Red Elite

  • ACASĂ
  • ARTICOLE
  • SERVICII
  • CONTACT
Valentin Virtejanu
Friday, 05 February 2021 / Published in Data breach, Securitate

Saga SolarWinds, poveste fără sfârșit

În decembrie 2020, SolarWinds, o companie din Austin, Texas, anunță că a fost victima unui atac de tip supply-chain.

Pentru a înțelege mai bine acest tip de atac ne putem imagina că o companie din țară care comercializează apă plată este compromisă de un atacator, atacatorul pune în sursele sale de apă o substanță care poate face rău clienților. Compania distribuie la rândul ei apa și în felul acesta substanța ajunge la mai mulți oameni.

În cazul de față nu a fost vorba de oameni ci de companii, SolarWinds estimează că undeva la 18.000 companii au primit actualizarea malițioasă dintr-un total de 33.000 ce folosesc produsul Orion.

Printre clienții celor de la SolarWinds se numără Ericsson, Yahoo, Texaco, AT&T, Pentagonul, State Department, NASA, NSA, Postal Service, NOAA, Department of Justice, biroul Președintelui Statelor Unite ale Americii și mulți alții, o listă parțială poate fi consultată pe WayBackMachine deoarece lista clienților de pe site-ul SolarWinds a fost ștearsă.

Companiile ce au confirmat compromiterea:

Cisco, dar aceasta nu a putut să spună dacă produsele sale au fost compromise sau nu. La scurt timp după anunțul atacului, pe ceea ce pare a fi site-ul atacatorilor http://solarleaks.net/ sunt furnizate detalii despre breșa de securitate și sunt vândute codurile sursă ale produselor companiei mai sus menționate.

Microsoft admite că o parte din codul sursă al aplicațiilor a ajuns pe mâna atacatorilor cel mai probabil ca urmare a pivotării de pe instanțele compromise în conturile interne a utilizatorilor.

Alte companii care au confirmat compromiterea: CrowdStrike, Fidelis, FireEye, Malwarebytes, Palo Alto Networks, US Justice Department,

Sergei Shevchenko, un blogger și cercetător a analizat interogările de DNS pasiv furnizate de Zetalytics și a reușit să decodeze o parte din traficul către domeniul folosit de atacatori ca domeniu de C2 (Command and Control) găsind urme ale comunicării altor 119 companii cu domeniul malițios, cel mai probabil și aceste companii au fost compromise.

De ce este atât de periculos atacul asupra SolarWinds?

Răspunsul este din perspectiva soft-ului în sine. Dacă atacatorii ar fi executat un atac de tip supply-chain asupra unui producător de jocuri impactul ar fi mult mai mic deoarece ar fi fost compromiși numai utilizatorii finali pe când în cazul de față au fost compromise companiile ce furnizează software și produse utilizatorilor finali iar impactul este semnificativ mai mare. Atacatorii putând să compromită mai departe soft-ul produs de acele companii, asemenea unui joc de domino.

Ce avantaje au avut atacatorii din compromiterea SolarWinds?

Pentru a înțelege asta trebuie să înțelegem ce produse furnizează SolarWinds.

SolarWinds Orion poate să ofere prin extensiile sale: monitorizarea performanței rețelei, monitorizarea aplicațiilor și serverelor, administrarea configurațiilor de pe rețea, analizor de trafic, analizor de log-uri și multe altele.

Odată compromisă soluția Orion, atacatorii și-au putut facilita accesul în rețelele compromise cu ușurință și în liniște (fără să declanșeze măsuri de protecție, IDS/IPS, AV, șamd.)

În rețeaua clienților compromiși, soft-ul Orion le-a permis atacatorilor să efectueze operațiuni de recunoaștere deoarece este o bază de date imensă cu informații despre rețea. De aici și până la a compromite alte sisteme este cale mică, partea de recunoaștere și documentare a rețelei este procesul cel mai time consuming pentru un atacator.

Mai jos puteți găsi câteva imagini din interiorul platformei Orion.

Un alt aspect demn de menționat este faptul că victimele nu au putut să reacționeze la atac până în momentul dezvăluirii acestuia deoarece toate binarele infectate aveau semnăturile SolarWinds și orice eveniment suspect declanșat de acestea ar fi fost tratat ca fals pozitiv.

Atacul este atribuit UNC2452 , o grupare ce este bănuită că ar fi sponsorizată de către guvernul Rusiei.

Cât de mare a fost impactul acestei compromiteri nu vom putem ști dar având în vedere complexitatea atacului este posibil ca tot mai multe companii să admită că au fost victime deoarece procesul de remediere este de durată, atacatorii putând să altereze și alte fișiere, să își creeze persistență prin intermediul backdoor-uri, șamd.  

Calendarul atacului poate fi consultat aici:

SolarWinds Orion Security Breach: Cyberattack Timeline and Hacking Incident Details

Iar indicatorii de compromitere aici:

https://github.com/fireeye/sunburst_countermeasures

Dacă credeți că ați fost afectați de acest atac ne puteți scrie oricând pe adresa contact@redelite.ro sau folosind formularul nostru de contact și vă putem oferi consultanță pentru remedierea atacului.

  • Tweet
Tagged under: SolarWinds Orion

What you can read next

Business card photo created by jcomp - www.freepik.com
Review Boosteroid
Un an de la HackTheZone
Cum putem reduce riscul unui atac cibernetic într-o rețea ce se dezvoltă în permanență?

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Recent Posts

  • Cum putem reduce riscul unui atac cibernetic într-o rețea ce se dezvoltă în permanență?

    Adesea ne găsim în situația extinderii necontro...
  • Business card photo created by jcomp - www.freepik.com

    Review Boosteroid

    Review Boosteroid: cum să ți se tragă banii de ...
  • EDR în comparație cu antivirus tradițional

    Astăzi vom prezenta câteva avantaje ale soluții...
  • Directiva NIS aproape de a fi implementată în România

    Directivă NIS (Network and Information Security...
  • Un an de la HackTheZone

    Pe 17 octombrie s-a împlinit un an de la confer...

Recent Comments

    Categories

    • CTF
    • Data breach
    • GDPR
    • LEGISLAȚIE
    • Securitate
    • Soluții
    • Tehnologie

    Programează o întâlnire

    MENIU

    • ACASĂ
    • ARTICOLE
    • SERVICII
    • CONTACT

    Contactați-ne

    T +40 701 136 476
    Email: contact@redelite.ro

    REDELITE INTERNATIONAL SRL
    STR. DIAMANTULUI NR 111, BRAGADIRU, ILFOV

    • GET SOCIAL

    © 2023 Toate drepturile rezervate, redelite.ro este marcă înregistrată a REDELITE INTERNATIONAL SRL. Termeni și condiții.

    TOP
    We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
    Cookie settingsACCEPT
    Manage consent

    Privacy Overview

    This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
    Necessary
    Always Enabled
    Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
    Non-necessary
    Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
    SAVE & ACCEPT