În decembrie 2020, SolarWinds, o companie din Austin, Texas, anunță că a fost victima unui atac de tip supply-chain.
Pentru a înțelege mai bine acest tip de atac ne putem imagina că o companie din țară care comercializează apă plată este compromisă de un atacator, atacatorul pune în sursele sale de apă o substanță care poate face rău clienților. Compania distribuie la rândul ei apa și în felul acesta substanța ajunge la mai mulți oameni.
În cazul de față nu a fost vorba de oameni ci de companii, SolarWinds estimează că undeva la 18.000 companii au primit actualizarea malițioasă dintr-un total de 33.000 ce folosesc produsul Orion.
Printre clienții celor de la SolarWinds se numără Ericsson, Yahoo, Texaco, AT&T, Pentagonul, State Department, NASA, NSA, Postal Service, NOAA, Department of Justice, biroul Președintelui Statelor Unite ale Americii și mulți alții, o listă parțială poate fi consultată pe WayBackMachine deoarece lista clienților de pe site-ul SolarWinds a fost ștearsă.
Companiile ce au confirmat compromiterea:
Cisco, dar aceasta nu a putut să spună dacă produsele sale au fost compromise sau nu. La scurt timp după anunțul atacului, pe ceea ce pare a fi site-ul atacatorilor http://solarleaks.net/ sunt furnizate detalii despre breșa de securitate și sunt vândute codurile sursă ale produselor companiei mai sus menționate.
Microsoft admite că o parte din codul sursă al aplicațiilor a ajuns pe mâna atacatorilor cel mai probabil ca urmare a pivotării de pe instanțele compromise în conturile interne a utilizatorilor.
Alte companii care au confirmat compromiterea: CrowdStrike, Fidelis, FireEye, Malwarebytes, Palo Alto Networks, US Justice Department,
Sergei Shevchenko, un blogger și cercetător a analizat interogările de DNS pasiv furnizate de Zetalytics și a reușit să decodeze o parte din traficul către domeniul folosit de atacatori ca domeniu de C2 (Command and Control) găsind urme ale comunicării altor 119 companii cu domeniul malițios, cel mai probabil și aceste companii au fost compromise.
De ce este atât de periculos atacul asupra SolarWinds?
Răspunsul este din perspectiva soft-ului în sine. Dacă atacatorii ar fi executat un atac de tip supply-chain asupra unui producător de jocuri impactul ar fi mult mai mic deoarece ar fi fost compromiși numai utilizatorii finali pe când în cazul de față au fost compromise companiile ce furnizează software și produse utilizatorilor finali iar impactul este semnificativ mai mare. Atacatorii putând să compromită mai departe soft-ul produs de acele companii, asemenea unui joc de domino.
Ce avantaje au avut atacatorii din compromiterea SolarWinds?
Pentru a înțelege asta trebuie să înțelegem ce produse furnizează SolarWinds.
SolarWinds Orion poate să ofere prin extensiile sale: monitorizarea performanței rețelei, monitorizarea aplicațiilor și serverelor, administrarea configurațiilor de pe rețea, analizor de trafic, analizor de log-uri și multe altele.
Odată compromisă soluția Orion, atacatorii și-au putut facilita accesul în rețelele compromise cu ușurință și în liniște (fără să declanșeze măsuri de protecție, IDS/IPS, AV, șamd.)
În rețeaua clienților compromiși, soft-ul Orion le-a permis atacatorilor să efectueze operațiuni de recunoaștere deoarece este o bază de date imensă cu informații despre rețea. De aici și până la a compromite alte sisteme este cale mică, partea de recunoaștere și documentare a rețelei este procesul cel mai time consuming pentru un atacator.
Mai jos puteți găsi câteva imagini din interiorul platformei Orion.
Un alt aspect demn de menționat este faptul că victimele nu au putut să reacționeze la atac până în momentul dezvăluirii acestuia deoarece toate binarele infectate aveau semnăturile SolarWinds și orice eveniment suspect declanșat de acestea ar fi fost tratat ca fals pozitiv.
Atacul este atribuit UNC2452 , o grupare ce este bănuită că ar fi sponsorizată de către guvernul Rusiei.
Cât de mare a fost impactul acestei compromiteri nu vom putem ști dar având în vedere complexitatea atacului este posibil ca tot mai multe companii să admită că au fost victime deoarece procesul de remediere este de durată, atacatorii putând să altereze și alte fișiere, să își creeze persistență prin intermediul backdoor-uri, șamd.
Calendarul atacului poate fi consultat aici:
Iar indicatorii de compromitere aici:
https://github.com/fireeye/sunburst_countermeasures
Dacă credeți că ați fost afectați de acest atac ne puteți scrie oricând pe adresa contact@redelite.ro sau folosind formularul nostru de contact și vă putem oferi consultanță pentru remedierea atacului.
