Atak na SolarWinds szeroko otworzył rosyjskim hakerom wiele amerykańskich drzwi. Dzięki niemu wtargnęli do licznych instytucji publicznych USA i największych firm. Oto, co wiemy na temat tego ataku.
W czasie gdy naszą uwagę przykuwają
kolejne miliony dolarów przelane na konta cyberprzestępców
, zapominamy o dużo poważniejszym zagrożeniu sieciowym, jakim jest działalność cyberszpiegów.
Nie można bagatelizować w
strzymania dostaw paliw w USA rurociągami Colonial Pipelines
czy
zatrzymania produkcji w amerykańskich zakładach przetwórstwa mięsnego JBS
, ale szyfrowanie danych w pojedynczych firmach w zamian za okup to dziecinna zabawa w porównaniu z atakiem za pośrednictwem SolarWinds, jaki miał miejsce w ubiegłym roku. Rosyjscy hakerzy uzyskali dzięki niemu m.in. dostęp do konta pocztowego szefa Departamentu Bezpieczeństwa Krajowego w administracji Donalda Trumpa i członków personelu Departamentu ds. Cyberbezpieczeństwa, których praca polegała na eliminowaniu zagrożenia cyfrowego z zagranicy.
Z rozwiązań SolarWinds, specjalizującej się w dostarczaniu rozwiązań sieciowych, korzysta 425 amerykańskich firm z listy Fortune 500, dziesięć największych w USA firm telekomunikacyjnych, pięć największych tamtejszych firm księgowych, wszystkie oddziały amerykańskiego wojska, Pentagon, Departament Stanu, a także setki uniwersytetów i szkół wyższych na całym świecie. Oto, co wiemy o tym ataku.
Nieznana jest liczba organizacji, które zostały konkretnie zaatakowane. SolarWinds poinformowało, że około 18 tys. organizacji na całym świecie otrzymało zainfekowane aktualizacje ich oprogramowania platformy Orion. Firmy zajmujące się bezpieczeństwem twierdzą, że rzeczywista liczba organizacji, których dane były obiektem zainteresowania hakerów, jest znacznie mniejsza. Microsoft stwierdził, że znalazł dowody na to, że tylko około 40 z jego klientów, którzy pobrali zainfekowane aktualizacje Oriona, zostało później zaatakowanych innymi, bardziej wyrafinowanymi narzędziami.
Orion Platform to kompleksowe narzędzie służące do monitorowania infrastruktury organizacji. Jest to potężna platforma do zarządzania siecią i bezpieczeństwem wszystkich jej komponentów. Według list opracowanych przez TruSec, Prevasio, Netresec i innych organizacje, które mogły pobrać jego aktualizacje, to m.in. Cisco, Deloitte, Intel, Nvidia, Belkin, Hasbro, Qualys, Microsoft, FireEye, Malwarebytes, Palo Alto Networks i Cox Communications. Ponadto atak dotknął kilka agencji rządowych, w tym Departamenty Handlu, Energii, Obrony, Sprawiedliwości i Bezpieczeństwa Krajowego.
Według Federalnego Biura Śledczego (FBI) i Federalnej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) hakerzy prowadzili dalsze działania po wprowadzeniu backdoora (furtka umożliwiająca pominięcie procesów uwierzytelniania, pozwalająca m.in. na edytowanie i przesyłanie danych do zainfekowanego systemu) w mniej niż 10 agencjach.
Przeprowadzona przez firmę Kaspersky analiza około 2 tys. zaatakowanych domen wykazała, że 32,4 proc. ofiar stanowiły przedsiębiorstwa przemysłowe, zakłady produkcyjne (18,11 proc.), instytucje użyteczności publicznej (3,24 proc.), firmy budowlane (3,03 proc.) oraz transportowe i logistyczne (2,97 proc.).
- Trzeba pamiętać, że SolarWinds był tylko elementem układanki. Użyto jego oprogramowania w tzw. supply-chain attack, w którym hakerzy wykorzystują zaufanie pomiędzy partnerami biznesowymi. W ataku tym przestępcy identyfikują słabe ogniwo określonej organizacji, jakim jest rozwiązanie zakupione od innej firmy. Orion Platform nie było celem, a tylko pośrednikiem umożliwiającym zaatakowanie właściwej organizacji – mówi Paula Januszkiewicz, specjalistka od cyberbezpieczeństwa i szefowa firmy CQURE.
Miesiąc po wykryciu włamania, w styczniu 2021 r., grupa amerykańskich agencji wywiadowczych oskarżyła Rosję o powiązanie z atakiem na SolarWinds. Jednak FireEye, Microsoft i kilka innych organizacji, które przeanalizowały ataki, twierdzą, że jak dotąd nie były w stanie przypisać ich do konkretnej, znanej wcześniej grupy lub kraju.
FireEye publicznie określa hakerów jako „UNC2452", inna firma analizująca włamanie CrowdStrike nazywa ich „StellarParticle". A Volexity zauważa, że taktyki, techniki i procedury stosowane przez napastników są podobne do metod używanych przez grupę o nazwie „Dark Halo".
Wszyscy są zgodni co do jednego: na taką zuchwałość działania mogła sobie pozwolić jedynie grupa hakerów, która jest utrzymywana lub wspierana przez państwo. W kwietniu Amerykańska Agencja Bezpieczeństwa Narodowego, FBI oraz CISA formalnie oskarżyły o atak grupę rosyjskich hakerów z „Cozy Bear", inaczej określaną jako APT 29, która powiązana jest z tamtejszym wywiadem. Prawdopodobnie ta sama grupa próbowała wpłynąć w 2016 r. na wynik wyborów prezydenckich w USA.
- Firmy nie wskazują palcem określonego kraju z dwóch zasadniczych powodów. Po pierwsze, nie chcą zostać uwikłane w konflikty polityczne. Po drugie, jeśli w śledztwo zaangażowane są władze państwowe, to najprawdopodobniej firmy te nie są w posiadaniu wszystkich dowodów, które pozwalają na wyciągnięcie takich wniosków. Przypisanie odpowiedzialności za atak konkretnym podmiotom wymaga przeprowadzenia bardzo skomplikowanego dochodzenia, czasem dość szybko dowiadujemy się, kto jest winny, niestety ciężko w to uwierzyć – mówi Januszkiewicz.
SolarWinds bada trzy możliwe scenariusze przeniknięcia do ich wewnętrznych systemów.
Wedle pierwszego winnym jest stażysta, który złamał przepisy wewnętrzne i zmieścił hasło „solarwinds123" na prywatnym koncie w repozytorium GitHub, które było błędnie skonfigurowane, co przekładało się na jego powszechną dostępność. Niezależny badacz bezpieczeństwa sieciowego Vinoth Kumar powiadomił o tym firmę w 2019 r. SolarWinds pozbył się problemu 22 listopada 2019 r., hasło było dostępne na GitHubie od 17 czerwca 2018 r.
W swojej korespondencji z SolarWinds Kumar poinformował, że hasło pozwoliło mu zalogować się i z powodzeniem zdeponować pliki na serwerze firmy. Ostrzegł ją, że hakerzy w prosty sposób mogą przesłać złośliwe oprogramowanie.
Hasło straciło ważność w listopadzie 2019 r., hakerzy jednak wedle tego scenariusza włamali się do zasobów firmy 4 września, mogli więc wykorzystać ten błąd ludzki, by wykonać pierwszy ruch. Przedstawiciele firmy nie potrafili wytłumaczyć, dlaczego rozwiązania technologiczne pozwalały na utworzenie tak słabego hasła.
Drugi scenariusz zakłada użycie metody brute force do złamania hasła. Polega ona na wprowadzaniu wszystkich możliwych kombinacji cyfr, liter i znaków specjalnych, do momentu, aż hasło zostanie odgadnięte.
- Aby przeciwdziałać metodzie brute force, należy wprowadzić w organizacji wymóg tworzenia odpowiednio silnych haseł, ale to nie wszystko. Kluczowy jest zastosowany mechanizm logowania. Można wprowadzić ograniczenia w liczbie nieudanych prób zalogowania, po których konto zostaje zablokowane. Od kilku lat z powodzeniem stosowana jest wieloskładnikowa metoda uwierzytelniania [MFA - multi-factor authentication], w której oprócz nazwy użytkownika i hasła trzeba wprowadzić jeszcze jedną informację potwierdzającą tożsamość, np. kod przesłany na telefon SMS-em, lub bezpośrednio skorzystać ze specjalnej aplikacji do logowania. SolarWinds mimo używania MFA miał problem polegający na tym, że atakujący byli już w środku infrastruktury, co pozwoliło im na obejście dodatkowych mechanizmów logowania – mówi Januszkiewicz.
Wedle trzeciego rozważanego scenariusza dostęp do zasobów SolarWinds uzyskano za pomocą oprogramowania innej firmy, konkretnie Microsoftu. W grudniu 2019 r. hakerzy zdobyli dostęp do jednego z firmowych kont na platformie Office 365. W dość szybkim czasie pozwoliło im to na przejęcie innych kont, a następnie uzyskanie dostępu do wewnętrznych zasobów firmy. Microsoft zaprzecza, jakoby jego oprogramowanie zostało użyte we wstępnej fazie ataku.
Podczas sesji inauguracyjnej na konferencji RSA 19 maja 2021 r. szef SolarWinds Sudhakar Ramakrishna powiedział, że hakerzy prawdopodobnie rozpoczęli sondowanie ich sieci już w styczniu 2019 r. Analitycy, przyglądając się setkom terabajtów danych, natknęli się na starą konfigurację kodu, która umożliwiłaby uzyskanie dostępu do zasobów firmy. Ramakrishna nie podał jednak żadnych szczegółów. Śledztwo trwa.
Hakerzy po uzyskaniu dostępu do serwera wprowadzili do niego złośliwy kod testowy. Wiele wskazuje na to, że wersja Orion Platform z października 2019 r. zawierała modyfikacje mające na celu sprawdzenie możliwości jego wstawienia.
Ostatecznie 20 lutego 2020 r. zainfekowano Orion Platform. Do ataku wykorzystano złośliwe oprogramowanie o nazwie „Sunspot", przyjrzeli mu się analitycy z firmy Crowdstrike. Zadaniem „Sunspot" było monitorowanie procesów uczestniczących w kompilacji produktu Orion i zastąpienie pliku źródłowego, tak aby zawierał kod backdoora o nazwie „Sunburst". „Sunspot" wyposażono w kilka zabezpieczeń, aby uniknąć sytuacji, w której kompilacja się nie powiedzie się, a programiści zorientowaliby się o obecności przeciwnika. Hakerzy włożyli wiele wysiłku, aby upewnić się, że kod został poprawnie wstawiony i pozostał niewykryty, priorytetem było dla nich bezpieczeństwo.
Kompilacje oprogramowania wydane między marcem a czerwcem 2020 r. mogły zawierać trojana. Firma FireEye, analizując je, zauważyła, że każdy z ataków wymagał drobiazgowego planowania i niezautomatyzowanej obsługi ze strony hakerów. Napastnikom udało się zmodyfikować wtyczkę, która komunikuje się z serwerami kontrolowanymi przez atakujących.
„Po początkowym okresie uśpienia, trwającym do dwóch tygodni, złośliwe oprogramowanie dawało możliwość wykonywania wielu poleceń, m.in. przesyłania plików, uruchamiania ich, restartowania maszyny i wyłączania usług systemowych. Złośliwe oprogramowanie maskowało swoje działania podszywając się pod protokół Orion Improvement Program (OIP) i przechowywało wyniki rekonesansu w autentycznych plikach konfiguracyjnych wtyczek, co pozwalało mu wtopić się w legalną aktywność SolarWinds" - stwierdzili analitycy FireEye.
Atakujący starali się pozostawić jak najmniej śladów użycia złośliwego oprogramowania, decydowali się wykradać i wykorzystywać dane uwierzytelniające pozwalające na uzyskanie legalnego zdalnego dostępu do sieci wewnętrznych. Backdoor wykorzystano do dostarczenia droppera (złośliwe oprogramowanie, które instaluje inny rodzaj złośliwego oprogramowania, np. wirusa), którego nigdy wcześniej nie zarejestrowano, FireEye nazwał go „Teardrop". Ładuje się on bezpośrednio do pamięci i nie pozostawia śladów na dysku. Analitycy uważają, że został wykorzystany do umieszczenia spersonalizowanej wersji ładunku „Cobalt Strike". Jest to komercyjne narzędzie do przeprowadzania testów penetracyjnych przez zespoły badawcze, które jest również wykorzystywane przez grupy cyberprzestępcze.
Aby uniknąć wykrycia, atakujący wykorzystali technikę podmiany plików tymczasowych w celu zdalnego uruchomienia swoich narzędzi. Oznacza to, że zmodyfikowali legalne oprogramowanie w systemie docelowym na złośliwe, uruchomili je, a następnie zastąpili je z powrotem legalnym. Podobna technika polegała na tymczasowej modyfikacji zaplanowanych zadań systemowych poprzez ich aktualizację, co miało na celu uruchomienie złośliwego oprogramowania, a następnie przywrócenie zaplanowanych zadań do oryginalnej konfiguracji.
To jedne z najlepszych zabezpieczeń operacyjnych hakerów, jakie kiedykolwiek zaobserwowała firma FireEye, koncentrujące się na unikaniu wykrywania i wykorzystywaniu istniejących relacji zaufania. Analitycy firmy uważają jednak, że istnieją metody pozwalające na wykrycie takich ataków.
Firma Symantec wykryła jeszcze jednego droppera używanego przez przestępców w całym łańcuchu ataków przeprowadzonych z użyciem oprogramowania SolarWinds. „Raindrop" to złośliwe oprogramowanie, które podobnie jak „Teardrop" zostało wykorzystane do umieszczenia „Cobalt Strike" w wybranych środowiskach. Jednak w przeciwieństwie do „Teardrop" do jego przesłania nie użyto backdoora „Sunburst". Według analityków złośliwe oprogramowanie zostało zaobserwowane w sieciach, w których co najmniej jeden komputer został już wcześniej zainfekowany „Sunburst".
Odkrycie „Raindrop" dostarcza informacji na temat aktywności hakerów już po bezpośrednim ataku na SolarWinds, ma on miejsce w organizacjach, którymi interesowali się atakujący. „Raindrop" był wykorzystywany przez nich do przejmowania kolejnych komputerów.
Do 4 czerwca 2020 r. hakerzy pozostali niewykryci i usunęli złośliwy kod „Sunburst" z Orion Platform. Doszło do tego w grudniu 2020 r. Firma FireEye ujawniła wówczas, że powiązani z władzami państwowymi hakerzy włamali się do ich sieci i wykradli należące do firmy narzędzia do wykonywania testów penetracyjnych. Kilka dni później, w trakcie dochodzenia w sprawie włamania do sieci wewnętrznej, FireEye odkryła, że aktualizacje platformy Orion firmy SolarWinds zostały uszkodzone i wykorzystane przez hakerów. Członek zarządu FireEye poinformował ówczesnego prezesa SolarWinds Kevina Thompsona, że w Orion Platform jest luka w zabezpieczeniach, która powstała w wyniku cyberataku. Informacje zostały przekazane Federalnej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), będącej częścią Departamentu Bezpieczeństwa Krajowego USA. CISA wydała dyrektywę awaryjną nakazującą agencjom federalnym wyłączenie SolarWinds Orion z powodu zagrożenia dla bezpieczeństwa.
Kilka miesięcy później, 15 kwietnia 2021 r., administracja Joego Bidena nałożyła sankcje na Rosję, oficjalnie oskarżając Moskwę o atak hakerski. Wydalono dziesięciu dyplomatów, umieszczono kilkadziesiąt osób i innych podmiotów z Rosji na czarnej liście i wprowadzono zakaz skupowania rosyjskiego długu publicznego.
Charakterystyczną cechą serii ataków z wykorzystaniem narzędzia SolarWinds był wysiłek włożony w utrzymanie bezpieczeństwa operacyjnego - od początkowego włamania do SolarWinds, przez utrzymywanie kontroli, rozmieszczenie ładunku w drugim etapie, po kradzież danych. Microsoft, Symantec, CrowdStrike i SolarWinds przedstawiły całą listę taktyk stosowanych przez hakerów.
*Liczne zabezpieczenia w pierwszym użytym złośliwym oprogramowaniu „Sunspot", których zadaniem było uniemożliwienie niepowodzenia kompilacji Oriona. Jej niepowodzenie groziło wykryciem operacji. Jedna z funkcji miała za zadanie dyskretne zatrzymanie działania złośliwego oprogramowania w określonych okolicznościach, nie zastosowano mechanizmów całkowicie wyłączających procesy.
*Zautomatyzowany dwutygodniowy okres uśpienia po umieszczeniu backdoora w systemie ofiary.
*Szkodliwe oprogramowanie zostało zaprojektowane w taki sposób, aby nie uruchamiało się na systemach z produktami bezpieczeństwa sieciowego określonych producentów, w tym CrowdStrike, CyberArk, Panda, Kaspersky, Dell Secureworks oraz Cybereason.
*Kod „Sunburst" został tak napisany, aby niemożliwe było powiązanie produktu SolarWinds z drugim etapem, w którym umieszczano w systemie ofiary „Cobalt Strike". W efekcie nawet jeśli „Cobalt Strike" został wykryty, to backdoor w Orionie pozostawał bezpieczny.
*Kod sprawdzał uruchomione w systemach określone procesy, nazwy plików sterowników, potrafił wyłączyć lub modyfikować logi audytu i znaczniki czasu.
*Ukrywanie skradzionych danych z serwerów DNS oraz upodabnianie złośliwej aktywności do działania legalnych protokołów komunikacyjnych platformy Orion.
*Monitorowanie przestrzeni dyskowej i aktywności dyskowej przed uruchomieniem lub utworzeniem plików.
*Używanie sfabrykowanych nazw plików i działań mających naśladować legalne aplikacje i pliki.
*Używanie różnych nazw plików, niestandardowych ładunków w drugiej fazie ataku oraz innych taktyk dla różnych ofiar, aby utrudnić organizacjom wykrywanie zagrożenia.
*Wykorzystywanie adresów IP z danego kraju do komunikacji z zainfekowanymi systemami.
Okazje się, że nie Orionem zainteresowane były również inne grupy hakerów. Podczas analizy platformy znaleziono innego backdoora o nazwie „Supernova". Backdoor umożliwiał atakującym wykonywanie szerokiego zakresu działań, pozostawał jednak całkowicie ukryty do momentu aktywacji. Analitycy z firmy Secureworks uważają, że za „Supernovą" stoi grupa hakerów z Chin, którą nazwano „Spiral". Podstawą do wyciągnięcia takich wniosków są techniki, taktyki i procedury włamania, które były identyczne lub bardzo podobne do ich wcześniejszych działań - jakie analizowali specjaliści z Secureworks.
- Wcale nie dziwi mnie wykorzystanie tej samej luki w zabezpieczeniach przez inne grupy hakerskie, jest to pewien standard. Informacje na ten temat są sprzedawane przez cyberprzestępców innym grupom hakerskim – mówi Januszkiewicz.