Americká Agentúra pre kybernetickú bezpečnosť (CISA) nedávno zverejnila podrobnosti ohľadom konkrétneho útoku nemenovanej APT skupiny.
Aktér v ňom skĺbil niekoľko známych zraniteľností. Útočníci sa do siete pripojili cez vzdialený prístup poskytovaný zraniteľnou Pulse Secure VPN, skompromitovali program SolarWinds Orion, nainštalovali zadné vrátka (tzv. „backdoor“) v podobe malvéru Supernova a zozbierali prístupové údaje do systému. Pri zneužití novoobjavenej kritickej zero-day zraniteľnosti v Pulse Connect Secure SSL VPN dokážu aktéri obísť autentifikáciu a spustiť ľubovoľný kód. „Zraniteľnosti boli zneužité na vniknutie do siete desiatok amerických a európskych vládnych, obranných a finančných organizácií.“ Odborníci CISA odhalili, že útočníci mali pomocou VPN prístup k firemnej sieti už takmer rok.
Ešte prekvapujúcejším zistením bol fakt, že používali platné účty s viacfaktorovým overovaním totožnosti. Vydávali sa tak za skutočných zamestnancov pracujúcich na diaľku. Zadné dvierka Supernova sú zase známe už z predchádzajúcich fáz operácie SolarWinds, výskumníci ich objavili konkrétne v decembri. Ide o webové rozhranie .NET web shell, ktoré je implementované úpravou kódu jedného z modulov aplikácie SolarWinds Orion. Úpravy umožnila kritická zraniteľnosť, vďaka ktorej sa dala obísť autentifikácia v Orion API. CISA zároveň podotýka, že by malo ísť o iných utočníkov, než tých, ktorí boli zodpovední za kampaň SolarWinds. Konkrétneho aktéra však Agentúra nemenovala. „Organizácie, ktoré nájdu Supernovu vo svojich inštaláciách SolarWinds, by mali s týmto incidentom zaobchádzať ako so samostatným útokom.“
Don Smith z Counter Threat Unit Secureworks však spája útok so skupinou Bronze Spiral, známou tiež ako Tick, ktorá je napojená na Čínu. Podľa Smitha sedí načasovanie, nástroje i taktika, ktoré jeho jednotka zaznamenala v súvislosti s ďalšími dvomi útokmi. Keďže kampaň stále prebieha, CISA odporúča organizáciám skontrolovať výskyt bežných spustiteľných súborov, nasadiť viacfaktorovú autentifikáciu, nastaviť účtom zodpovedajúce privilégiá, filtrovať nevyžiadané žiadosti o pripojenie či účinnejšie zabezpečiť protokol RDP, určený na vzdialené aktivity.