Кто тот стажер, на которого Solarwinds вешает всех собак?

После предыдущего поста, нам оставалось только пойти по следам того несчастного стажера, на которого руководство компании, кажется, готово повесить всех собак. И мы это сделали.

Но прежде, чем перейти к тому, кто он, что делал в SolarWinds и в чём заключалась его работа, напомним почему мы столько внимания уделяем этой теме.

Компания SolarWinds производит ПО Orion, предназначенное для централизованного управления сетевой инфраструктурой. Главная особенность этого централизованного управления в том, что для этого Ориону надо предоставить доступы вообще ко всем сетевым устройствам. Решениями SolarWinds пользовались в Пентагоне, в АНБ, в Microsoft. Одна из самых одиозных околоправительственных ИБ-компаний использовала Orion.

Понятно, что для мотивированного злоумышленника Orion был лакомым кусочком и некий злоумышленник это сделал: начиная примерно с 2018 года ряд модулей Ориона распространялись со встроенным троянцем, которым управляли неизвестные, но по мнению FireEye и Microsoft - очень квалифицированные хакеры.

Позже выяснилось, что ещё в конце 2019 года, специалист по безопасности Vinoth Kumar сообщал Solarwinds, что логин и пароль, позволяющие писать на сервер, откуда клиенты скачивают те самые модули - открыто лежат в Github-репозитории человека с никнеймом xkozus00. Причём пароль не из лучших - "solarwinds123

Поскольку до сих пор неизвестно, каким же образом хакеры проникали в SolarWinds, вектор атаки через этот утёкший пароль продолжает рассматриваться в качестве основного. И вот на днях, на слушаниях в американском парламенте, руководство SolarWinds заявило, что xkozus00 - был стажером и что именно он установил такой пароль.

Как мы уже говорили, человека с этим никнеймом в интернете найти довольно трудно. Его можно понять: когда ты стажер (а если быть более точным - дипломник) и твои нечаянные действия, вероятно, привели к взлому Пентагона и АНБ... Нам, пожалуй, известен только один подобный случай -- Стэнли Твиддл -- помощник заместителя вспомогательного курьера с планеты Острал Б, который в своей вымышленной вселенной считался виновником гибели 685 миллиардов 304 миллионов человек на 94 обитаемых планетах.

Тем не менее, главный документ в этой истории из интернета уже не изъять никакими усилиями. Это PDF дипломной работы выпускника факультета информационных технологий технического университета Брно по имени Adam Kožušník. Называется дипломная работа Automation of MIB Files Import и в первых же её строках говорится: Я также хотел бы поблагодарить компанию SolarWinds, которая позволила мне в своей корпоративной среде эту работу создать. Спасибо также сотрудникам компании SolarWinds Адам Шрайберови и Jaroslavovi Klimíčkovi, за консультацию и руководство в течение всей работы. (здесь и далее - яндекс-перевод с чешского).

Итак, в 2017-2018 годах юноша пишет дипломную работу в чешском филиале SolarWinds. Если вкратце, то задача у него - автоматизировать работу технической поддержки по добавлению MIB-файлов, как мы и предположили в прошлом посте.

На момент начала его работы, последовательность у сотрудников техподдержки следующая:

Скачать MIB-файл из заявки в Jira -- Распаковать -- Воспользоваться MIB-компилятором -- Добавить MIB в базу данных -- Выложить базу данных на сервер для клиентов.

Часть из этих операций была автоматизирована и до Адама, поэтому, он пишет, что включит в свой проект существующие программы. В итоге проект у него состоит из модуля, который называется Jira Communicator, архиватора 7z и ранее существующей программы, которая называется PurgeApp.exe. Именно этот модуль занимается загрузкой готовой базы данных на сервер и именно в файле PurgeApp.config Vinoth Kumar нашел злополучные логин и пароль.

Тут история начинает играть новыми красками. Похоже, что Адам просто взял PurgeApp вместе с существующим файлом конфигурации. И если в чём он и виноват перед своей компанией, так это только в том, что положил этот файл в репозиторий со своей дипломной работой. А это значит, что брутфорс этого или другого пароля -- был только делом времени.

Так или иначе, история с Адамом (пожелаем ему, чтобы его имя в этом контексте как можно скорее забыли) только увеличивает количество вопросов к руководству компании. Ведь если "самая изощрённая кибератака в истории США", выполненная "тысячью высококвалифицированных инженеров" произошла благодаря вобщем-то обычной ошибке дипломника из восточноевропейского филиала, всем, кто отвечает в SolarWinds за продуктовую безопасность пора на пенсию.