13 grudnia br. świat obiegła informacja o wykrytym masowym ataku hakerskim na wiele agencji rządowych USA, w tym m.in. Departamentów Skarbu, Bezpieczeństwa Wewnętrznego, Departamentu Stanu oraz Pentagonu. Do przeprowadzenia ataku wykorzystano serwer aktualizacji oprogramowania firmy SolarWinds, która jest jednym z największych, globalnych dostawców oprogramowania do zarządzania sieciami, systemami i infrastrukturą informatyczną. Produkty SolarWinds są używane przez ponad 300 tys. organizacji na całym świecie. Poza organizacjami rządowymi w USA, ofiarami ataku były również firmy konsultingowe, technologiczne, telekomunikacyjne oraz naftowo-gazowe w Ameryce Północnej, Europie, Azji i na Bliskim Wschodzie. W Polsce oprogramowania SolarWinds używa m.in. Ministerstwo Spraw Wewnętrznych i Administracji. To najpoważniejszy atak hakerski w 2020 r. i najprawdopodobniej największy tej dekady.
SolarWinds to firma programistyczna, która istnieje od 1999 roku i produkuje platformy oprogramowania, które zarządzają innymi komponentami technologii korporacyjnej – od monitorowania sieci po zarządzanie zgłoszeniami do pomocy technicznej. SolarWinds posiada wielu klientów na całym świecie, w większości są to duże firmy i instytucje rządowe, w tym 425 firm z listy Fortune 500. W Polsce oprogramowanie SolarWinds jest szeroko stosowane w systemach rządowych.
Cyberprzestępcy wykorzystali backdoor
Atak został wykryty w grudniu br. Do jego przeprowadzenia hakerzy wykorzystali platformę SolarWinds – Orion, która służy do scentralizowanego monitorowania wielu obszarów technologicznych w organizacji. Platforma pobiera i koreluje ogromne ilości różnych danych, z tego powodu dostęp do Oriona jest przez organizację ściśle kontrolowany.
Hakerzy wbudowali backdoor w aktualizację oprogramowania. Oznacza to, że uzyskanie dostępu do narzędzia monitorującego Orion pozwoliło hakerom swobodnie „zadomowić się” w innych systemach ofiar. Za atakiem ma stać inne państwo, prawdopodobnie Rosja. Celem ataku było gromadzenie informacji wywiadowczych, dlatego szczegóły i skutki ataku możemy poznać dopiero za jakiś czas. Również Microsoft przyznał, że został dotknięty tym atakiem i znalazł złośliwe pliki binarne we własnym oprogramowaniu – dotyczy to platform Azure i Active Directory. W wydanym oświadczeniu firma zapewniła, że dostęp do danych klientów czy usług produkcyjnych nie jest zagrożony, a zagrożenie zostało opanowane.
Atak w łańcuchu dostaw
Ten atak hakerski był bardzo wyrafinowaną i dobrze przeprowadzoną akcją na ogromną skalę. Przypuszcza się, że zastosowaną przez napastników metodą było przejęcie określonego certyfikatu. Certyfikat ten został użyty do sfałszowania innych składników potrzebnych do uzyskania dostępu, co w kolejnym kroku umożliwiło hakerom włamanie się do niektórych systemów w infrastrukturze SolarWinds. Jednym z nich była platforma używana do przygotowywania i wysyłania aktualizacji oprogramowania do klientów platformy Orion. Hakerzy wstawili swój własny kod do jednej lub kilku aktualizacji, które następnie były dystrybuowane do wszystkich użytkowników Oriona.
Taka forma ataku jest często nazywana atakiem na łańcuch dostaw (Supply-Chain Attack). Hakerzy nie atakują tutaj bezpośrednio swoich ofiar, ale uzyskują do nich dostęp pośredni – poprzez inne platformy używane przez organizacje. Czasami określa się tę formę ataku jako Watering Hole. Niezależnie od użytego terminu w rezultacie tysiące firm korzystających z Oriona nieświadomie mogło pobrać złośliwy kod podczas wykonywania aktualizacji oprogramowania, który otwierał hakerom „tylne drzwi” do systemów ofiar. Ten złośliwy kod, nazwany przez analityków ds. bezpieczeństwa Sunburst, instalował również dodatkowy kod, który pozwalał cyberprzestępcom na zdalny dostęp do systemu Orion w dowolnym momencie. Ponieważ Sunburst atakował platformę monitorowania i kontroli, wykrycie samego ataku było praktycznie niemożliwe. Złośliwe oprogramowanie zaczęło być aktywne już w marcu 2020 roku. Możliwe jest, że przez ponad sześć miesięcy wiele organizacji było ofiarami ataku nie wiedząc o tym, a ich bezpieczeństwo było w tym czasie zagrożone. Podejrzewa się, że za atak odpowiedzialna jest rosyjska grupa APT39. Chociaż oficjalne źródła nie potwierdziły tego, forma ataku i użyte złośliwe oprogramowania potwierdzają, że pochodzi on od cyberprzestępców działających na dużą skalę, dobrze zorganizowanych i prawdopodobnie finansowanych przez jakieś państwo. Dlatego rosyjski APT39 jest tu głównym podejrzanym. Wskazuje też na to duża liczba agencji rządowych w USA, które były jednym z głównych celów ataku.
Czy taki atak może się powtórzyć
Ataki tego rodzaju i na tak dużą skalę są niezwykle rzadkie. Chociaż już wcześniej zdarzały się ataki w łańcuchu dostaw, to ich zasięg był znacznie mniejszy. Dostawcy oprogramowania przywiązują dużą wagę do kontroli bezpieczeństwa i dysponują wieloma systemami monitorowania oraz innymi zabezpieczeniami, które „teoretycznie” uniemożliwiają przeprowadzenie tego rodzaju ataku. Jednak w przypadku SolarWinds hakerom udało się odnieść sukces dzięki niezwykle wyrafinowanej manipulacji certyfikatami bezpieczeństwa, pośredniej formie tego ataku i użyciu nieznanego złośliwego kodu. Nawet doświadczeni eksperci ds. bezpieczeństwa byli zaskoczeni skalą i zasięgiem tego ataku.
Nowoczesny monitoring bezpieczeństwa może zazwyczaj wykryć proces eksfiltracji danych (usuwania danych ze środowiska). Oznacza to, że zidentyfikowanie nietypowych wzorców ruchu sieciowego ujawniłyby trwający atak. Jednak techniki zaciemniania kodu użyte przez bardzo dobrych hakerów byłyby w stanie utrudnić wykrycie ataku. Dlatego, mimo że jest mało prawdopodobne abyśmy w najbliższej przyszłości mogli zobaczyć kolejny atak o tak dużej sile i zasięgu, to nie można tego całkowicie wykluczyć.
Co zrobić, aby uniknąć ataku
Ataki typu Watering Hole są niezwykle trudne do wykrycia, ponieważ w takim przypadku główna ofiara nie jest celem początkowego ataku. Dlatego w obszarze zapewnienia bezpieczeństwa współczesne organizacje muszą działać proaktywnie. Narzędzia takie jak platforma BAS (ang. Breach and Attack Simulation) firmy Cymulate umożliwiają sprawdzanie bieżącego stanu przygotowania i podatności organizacji na ataki oraz inne współczesne cyberzagrożenia. Wykonywanie symulacji pozwala poznać potencjalne drogi ataku, wskazując luki w zabezpieczeniach i obszary najbardziej narażone na cyberzagrożenia. Platforma Cymulate jest na bieżąco aktualizowana o wszelkie nowe techniki i metodologie używane przez hakerów (posiada już symulację Immediate Threats Intelligence dla Sunburst).
Przykład ataku SolarWinds pokazuje nawet najlepsze zabezpieczenia nie są w stanie zapewnić odpowiedniego poziomu ochrony przed zaawansowanymi i nieznanymi formami cyberataków. Dlatego współczesne organizacje powinny proaktywnie przeciwdziałać naruszeniom bezpieczeństwa wykorzystując do tego nowe technologie i rozwiązania do symulowania ataków. Tylko w ten sposób, będąc o krok przed cybeprzestępcami organizacje mogą skutecznie obronić się przed tysiącami cyberzagrożeń w cyfrowym świecie.
Tekst źródłowy: blog.cymulate.com/solarwinds-attack