Spoločnosť SolarWinds informovala o kritickej zraniteľnosti v monitorovacom a správcovskom softvéri Orion. Malvér šírený priamo do dodávateľského reťazca sa nachádza vo všetkých verziách softvéru, ktoré vyšli medzi marcom a júnom 2020.
Podľa doterajšej analýzy sa pravdepodobne jedná o štátom sponzorovaný útok, avšak oficiálna atribúcia doposiaľ neprebehla. Podľa informácií The Washington Post za kampaňou stojí ruská skupina APT29, známa tiež ako Cozy Bear. Skupina má byť podľa bezpečnostnej komunity napojená na ruskú zahraničnú rozviedku SVR. Tento predpoklad vyplýva jednak zo sofistikovanosti a robustnosti celého útoku, jednak z charakteru špehovaných subjektov, ktoré sú kritické pre národnú bezpečnosť štátov. Útok je súčasťou celosvetovej kampane, ktorá je namierená voči súkromným spoločnostiam i štátnym inštitúciám využívajúcim služby SolarWinds Orion.
Škodlivé aktivity tohto druhu začali byť pozorované na jar roku 2020. Obeťami sa stalo už vyše 18 tisíc subjektov zo štátnej správy, ale aj z oblasti technológií, komunikácie a marketingu či energetiky. Medzi potvrdené zasiahnuté vládne agentúry sa zaradili Pentagon, Ministerstvo národnej bezpečnosti, obchodu a financií, či dokonca aj federálna pošta. Na najnovšiu vlnu útokov stihla reagovať americká CISA. Vydaním Mimoriadnej smernice 21-01 nariadila všetkým vládnym agentúram preveriť programy daného systému a postupovať podľa odporučení spoločnosti SolarWinds.
Kampaň voči produktom SolarWinds Orion určených na správu sietí predstavuje neprijateľné riziko pre bezpečnosť vládnych sietí. Smernica, ktorá je piatou svojho druhu, má podľa slov riaditeľa CISA Brandona Walesa k prijatiu potrebných opatrení zároveň vyzvať ostatné zasiahnuté súkromné či verejné subjekty. Zadné vrátka SUNBURST hackeri implementovali priamo do užívateľských aktualizácií softvéru, konkrétne do jadrovej časti knižnice systému Orion. Počas aktualizovania programu sa kód zadných vrátok načíta ešte pred spustením legitímneho softvérového kódu. Tento postup vytvára v užívateľovi mylný dojem, že celý proces aktualizácie prebieha štandardnou formou a obeť tak škodlivý malvér prehliadne.
V druhom stupni útoku je pomocou protokolu http a domény avsvmcloud.com vytvorené komunikačné médium medzi programom a útočníkom. Útočník je vďaka nemu schopný získať nielen široké spektrum informácií o softvéri SolarWinds Orion, ale najmä citlivé údaje z iných systémov a služieb, ktoré obeť používa. Nástroje na získanie prístupu sa rôznia a ako obranu voči potenciálnemu odhaleniu využívajú útočníci viaceré formy ochrany. Pomocou administrátorských oprávnení napríklad falšujú autentifikačné SAML tokeny a vystupujú ako ktorýkoľvek z oprávnených používateľov systému.
Napriek istým formám krytia je ale možné rozpoznať známky neštandardného správania, ktoré indikujú potenciálny útok. Ide napríklad o správanie použitých malvérov Teardrop a Beacon, zmenu názvu útočníkovej infraštruktúry podľa používateľského prostredia obete, či dočasné nahradenie súborov a úpravu úloh. Viaceré z týchto známok zosumarizovali a uverejnili spoločnosti FireEye či Microsoft (prostredníctvom platforiem Azure Sentinel a Unified Audit Log). Na sériu útokov upozornilo aj slovenské Národné centrum kybernetickej bezpečnosti SK-CERT, ktoré dotknutým subjektom odporučilo sadu nevyhnutných opatrení.
Prioritou je urýchlená izolácia všetkých aktívnych služieb SolarWinds Orion od pripojenia k internetu a vnútornej infraštruktúry či maximálne možné obmedzenie počtu pripojených administrátorských účtov a kritických aktív. Spoločnosť SolarWinds už zraniteľnosť zaplátala, užívatelia by tak mali svoje softvéry bezpečne aktualizovať na verziu 2020.2.1 HF 2 a nakonfigurovať systém podľa dostupného manuálu. Používatelia by mali dodatočne oskenovať sieť za účelom detekcie škodlivého kódu či pripojenia, preveriť sieťové komunikačné kanály a všetku škodlivú komunikáciu zablokovať. Dodatočnou ochranou môže byť aj zmena všetkých hesiel a prístupových údajov v rámci systému a pripojených zariadení a napokon dvojfaktorová autentifikácia.
Zdroj: CS