Взлом года. Вся информация которая есть о SolarWinds.

Взлом года. Вся информация которая есть о SolarWinds.

Debian-Lab

Ха­керы ата­кова­ли ком­панию SolarWinds и зарази­ли ее плат­форму Orion мал­варью. Мно­гие уже называ­ют слу­чив­шееся самой мас­штаб­ной ата­кой года, в которой, конеч­но, подоз­рева­ют рос­сий­ских пра­витель­ствен­ных хакеров. Сре­ди пос­тра­дав­ших чис­лятся такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности. Одна­ко «спис­ки жертв» попол­няют­ся каж­дый день, а экспер­ты делят­ся все новыми деталя­ми слу­чив­шегося. В этом матери­але мы соб­рали все, что извес­тно о взло­ме SolarWinds на сегод­няшний день.

 

Атаку заметили

В середи­не декаб­ря 2020 года круп­ные запад­ные СМИ, вклю­чая Reuters, Washington Post и Wall Street Journal, неожи­дан­но сооб­щили, что аме­рикан­ские влас­ти ста­ли жер­твой мас­штаб­ной ата­ки пра­витель­ствен­ных хакеров. Жур­налис­ты писали, что в резуль­тате инци­ден­та были ском­про­мети­рова­ны как минимум Минис­терс­тво финан­сов США и Наци­ональ­ная адми­нис­тра­ция по информа­тике и телеком­муника­циям при Минис­терс­тве тор­говли США.

Га­зета Washington Post ссы­лалась на собс­твен­ные источни­ки, сог­ласно которым от атак пос­тра­дали и мно­гие дру­гие пра­витель­ствен­ные учрежде­ния в США (это ока­залось прав­дой, но под­робнее чуть ниже). Агентство Reuters, в свою оче­редь, писало, что инци­дент был приз­нан нас­толь­ко серь­езным, что в Белом доме соз­вали экс­трен­ное заседа­ние Совета наци­ональ­ной безопас­ности США.

Вско­ре пос­ле этих пуб­ликаций собс­твен­ный от­чет о про­изо­шед­шем обна­родо­вали пред­ста­вите­ли ИБ‑ком­пании FireEye и тем самым толь­ко под­лили мас­ла в огонь. Дело в том, что сама FireEye тоже ока­залась в чис­ле пос­тра­дав­ших и, мож­но ска­зать, иссле­дова­тели изу­чали слу­чив­шееся «изнутри».

Из отче­та FireEye ста­ло понят­но, что неиз­вес­тные зло­умыш­ленни­ки доволь­но дав­но ском­про­мети­рова­ли ИТ‑ком­панию SolarWinds, которая раз­рабаты­вает для пред­при­ятий ПО, помога­ющее управлять их сетями, сис­темами и инфраструк­турой. Про­ник­нув в сеть SolarWinds, зло­умыш­ленни­ки снаб­дили плат­форму Orion, пред­назна­чен­ную для цен­тра­лизо­ван­ного монито­рин­га и управле­ния, вре­донос­ным обновле­нием. В резуль­тате мно­жес­тво кли­ентов SolarWinds уста­нови­ли заражен­ную вер­сию плат­формы и, сами того не зная, впус­тили хакеров в свои сети.

Ском­про­мети­рован­ными офи­циаль­но приз­наны вер­сии 2019.4 HF 5, 2020.2 (без исправ­ления) и 2020.2 HF 1.

Де­ло осложни­лось тем, что в спи­сок кли­ентов SolarWinds вхо­дят более 400 круп­ней­ших аме­рикан­ских ком­паний из спис­ка Fortune 500, а так­же мно­гие пра­витель­ствен­ные учрежде­ния, бан­ки, медицин­ские заведе­ния и более мел­кие биз­несы.

 

Как взломали?

Офи­циаль­ные пред­ста­вите­ли SolarWinds пока не сде­лали post mortem отчет об инци­ден­те (для это­го еще слиш­ком рано), поэто­му точ­но неиз­вес­тно, как имен­но хакеры сумели про­ник­нуть в сеть ком­пании. Одна­ко пос­ле того, как об ата­ке ста­ло широко извес­тно, мно­гие СМИ обра­тили вни­мание на заяв­ления ИБ‑иссле­дова­теля Винота Кумара (Vinoth Kumar), который утвер­ждал, буд­то учет­ные дан­ные от сер­вера обновле­ний SolarWinds еще в 2018 году были сво­бод­но дос­тупны в офи­циаль­ном репози­тории ком­пании на GitHub. По сло­вам Кумара, он заметил эту утеч­ку в нояб­ре, а пароль от сер­вера был эле­мен­тарным: solarwinds123.

Ку­мар писал, что, исполь­зуя эти учет­ные дан­ные, он сумел заг­рузить файл на сер­вер ком­пании и тем самым доказал, что сис­тема небезо­пас­на, о чем и уве­домил SolarWinds еще в нояб­ре 2020 года. В ито­ге утеч­ку устра­нили 22 нояб­ря.

Ис­сле­дова­тель не утвер­ждал, что имен­но эти учет­ные дан­ные сыг­рали какую‑то роль во взло­ме плат­формы Orion, одна­ко приз­навал, что такое воз­можно. Дело в том, что вре­донос­ные бинар­ники Orion были под­писаны, что явс­твен­но намека­ло на более широкую ком­про­мета­цию сети ком­пании.

«Если бы они получи­ли дос­туп к билд‑сер­верам, им не пот­ребова­лись бы учет­ные дан­ные от FTP. Но если бы они прос­то зав­ладели сер­тифика­том под­писи и учет­ными дан­ными от FTP, они мог­ли изме­нить .dll, под­писать его и заг­рузить на FTP-сер­вер», — рас­суждал Кумар.

Те­орию утек­ших учет­ных дан­ных и халат­ности в целом под­твержда­ют и источни­ки информа­цион­ного агентства Reuters, по дан­ным которых, в дар­кне­те уже дав­но про­дава­ли дос­тупы к сис­темам SolarWinds.

Об этом же сооб­щили и ана­лити­ки ком­пании Group-IB. По их информа­ции, хакер из Казах­ста­на, извес­тный как Fxmsp, еще в октябре 2017 года про­давал дос­тупы к http://solarwinds.com и http://dameware.com (прог­рам­мное обес­печение дис­танци­онно­го управле­ния от SolarWinds) на извес­тном андегра­ундном форуме exploit[.]in. При­чем эти ком­пании были одни­ми из пер­вых, дос­тупы к которым Fxmsp выс­тавил на про­дажу в паб­лике.

 

Малварь

Сог­ласно мно­гочис­ленным отче­там ИБ‑экспер­тов, зло­умыш­ленни­ки внед­рили бэк­дор в легитим­ный DLL-файл плат­формы Orion — SolarWinds.Orion.Core.BusinessLayer.dll. Дан­ная мал­варь получи­ла кодовое имя SUNBURST (или же Solorigate), а деталь­ные отче­ты о ней уже под­готови­ли Microsoft, FireEye, Агентство по кибер­безопас­ности и защите инфраструк­туры, орга­низо­ван­ное при Минис­терс­тве внут­ренней безопас­ности США (DHS CISA), и мно­гие дру­гие.

Про­ник­нув в сис­тему, SUNBURST под­клю­чал­ся к управля­юще­му сер­веру на avsvmcloud[.]com и получал «задания» для выпол­нения на заражен­ном компь­юте­ре. Точ­но неиз­вес­тно, какие имен­но коман­ды пос­тупали мал­вари от опе­рато­ров, но это мог­ло быть что угод­но — от уда­лен­ного дос­тупа к заражен­ным сис­темам до заг­рузки и уста­нов­ки допол­нитель­ных вре­донос­ных прог­рамм или хищения дан­ных.

По информа­ции Yahoo!News, зло­умыш­ленни­ки опро­бова­ли такой метод рас­простра­нения мал­вари еще в октябре 2019 года. Прос­то во вре­мя проб­ного запус­ка файл DLL не содер­жал SUNBURST. Сам бэк­дор, судя по все­му, начали рас­простра­нять в мар­те 2020 года, а про­ник­нув в сети жертв, зло­умыш­ленни­ки нес­коль­ко месяцев избе­гали обна­руже­ния, собирая информа­цию и не прив­лекая к себе вни­мания.

По дан­ным СМИ, даже сот­рудни­ки FireEye замети­ли взлом лишь пос­ле того, как хакеры зарегис­три­рова­ли свое устрой­ство в сис­теме мно­гофак­торной аутен­тифика­ции ком­пании с исполь­зовани­ем укра­ден­ных учет­ных дан­ных.

Схе­ма ата­ки по вер­сии ана­лити­ков Microsoft

Ин­терес­но и то, что в отче­тах ИБ‑экспер­тов упо­мина­лись и две дру­гие полез­ные наг­рузки. Так, ана­лити­ки ком­паний Guidepoint, Symantecи Palo Alto Networks под­робно опи­сыва­ют, что зло­умыш­ленни­ки внед­ряли в заражен­ные сети .NET веб‑шелл под наз­вани­ем Supernova. Иссле­дова­тели полага­ли, что хакеры при­меня­ли Supernova для заг­рузки, ком­пиляции и выпол­нения вре­донос­ного PowerShell-скрип­та (который наз­вали CosmicGale).

Од­нако в ито­ге экспер­ты Microsoft приш­ли к выводу, что Supernova была частью дру­гой ата­ки и никак не свя­зана с мас­штаб­ной ата­кой на цепоч­ку пос­тавок. В ком­пании счи­тают, что веб‑шелл Supernova был внед­рен в пло­хо защищен­ные уста­нов­ки SolarWinds Orion, которые были уяз­вимы перед ста­рой проб­лемой CVE-2019-8917. И это сде­лали дру­гие зло­умыш­ленни­ки.

Пу­тани­ца воз­никла из‑за того, что, рав­но как и SUNBURST, Supernova была замас­кирова­на под DLL для при­ложе­ния Orion: SUNBURST был скрыт внут­ри фай­ла SolarWinds.Orion.Core.BusinessLayer.dll, а Supernova внут­ри App_Web_logoimagehandler.ashx.b6031896.dll. Одна­ко, в отли­чие от SUNBURST DLL, файл Supernova DLL не был под­писан легитим­ным сер­тифика­том SolarWinds. В ито­ге экспер­ты Microsoft убеж­дены, что эта мал­варь не име­ет отно­шения к ата­ке на цепоч­ку пос­тавок и вооб­ще при­над­лежит дру­гой хак‑груп­пе, что тоже харак­теризу­ет безопас­ность про­дук­ции SolarWinds не луч­шим обра­зом.

 

Рубильник

Эк­спер­ты Microsoft, в сот­рудни­чес­тве с GoDaddy и дру­гими ком­пани­ями‑пар­тне­рами, акти­виро­вали сво­еоб­разный ава­рий­ный «рубиль­ник» для мал­вари SUNBURST, хотя бы отчасти обе­зопа­сив пос­тра­дав­ших.

Де­ло в том, что это чем‑то похоже на слу­чай нашумев­шего шиф­роваль­щика WannaCry: в самом начале работы SUNBURST обра­щает­ся к под­домену avsvmcloud[.]сom для получе­ния заданий. Если же эта попыт­ка свя­зи не уда­лась и IP-адрес резол­вится в диапа­зоне из спис­ка ниже, мал­варь деак­тивиру­ется.

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 224.0.0.0/3
  • fc00:: - fe00::
  • fec0:: - ffc0::
  • ff00:: - ff00::
  • 20.140.0.0/15
  • 96.31.172.0/24
  • 131.228.12.0/22
  • 144.86.226.0/24

В ито­ге спе­циалис­ты соз­дали wildcard DNS, что­бы любая попыт­ка SUNBURST уста­новить связь с управля­ющим сер­вером резол­вилась на IP-адрес 20.140.0.1, который при­над­лежит Microsoft. Так как этот IP-адрес занесен в чер­ный спи­сок мал­вари, при под­клю­чении к любому под­домену avsvmcloud[.]com бэк­дор выг­ружа­ется и боль­ше не запус­кает­ся.

Впро­чем, экспер­ты отме­чают, что зло­умыш­ленни­ки мог­ли успеть внед­рить в сети пос­тра­дав­ших ком­паний и дру­гие вре­доно­сы, так что акти­вация «рубиль­ника», к сожале­нию, в этих слу­чаях уже не поможет.

 

Виновные?

Ис­точни­ки изда­ния Washington Post, которое сооб­щило об инци­ден­те одним из пер­вых, свя­зыва­ют дан­ную ата­ку с извес­тной рус­ско­языч­ной хак‑груп­пой APT29 (она же Cozy Bear и Dukes), которая, как счи­тают экспер­ты, дей­ству­ет под эги­дой рос­сий­ских влас­тей.

При этом нуж­но ска­зать, что спе­циалис­ты ком­паний FireEye и Microsoft, изу­чив­шие инци­дент дос­кональ­но, не сооб­щили ничего о воз­можной атри­буции ата­ки. Вмес­то это­го FireEye прис­воила груп­пиров­ке ней­траль­ное кодовое имя UNC2452 и заяви­ла, что ата­ка не была нацеле­на кон­крет­но на США:

«Дан­ная кам­пания широко рас­простра­нена и зат­рагива­ет государс­твен­ные и час­тные орга­низа­ции по все­му миру. Сре­ди пос­тра­дав­ших были государс­твен­ные, кон­салтин­говые, тех­нологи­чес­кие, телеком­муника­цион­ные и добыва­ющие ком­пании в Север­ной Аме­рике, Евро­пе, Азии и на Ближ­нем Вос­токе. Мы ожи­даем, что в будущем появит­ся информа­ция о дру­гих пос­тра­дав­ших в дру­гих стра­нах мира и сек­торах», — писали ана­лити­ки FireEye.

В свою оче­редь, спе­циалис­ты ком­пании Volexity и вов­се свя­зыва­ют эту вре­донос­ную кам­панию с груп­пиров­кой Dark Halo, чью активность экспер­ты фик­сирова­ли с кон­ца 2019 года по июль 2020 года.

Как бы то ни было, на обви­нения, опуб­ликован­ные на стра­ницах Washington Post и дру­гих изда­ний, опе­ратив­но отре­аги­рова­ло посоль­ство Рос­сии в США, заявив, что «нападе­ния в информа­цион­ном прос­транс­тве про­тиво­речат внеш­неполи­тичес­ким прин­ципам нашей стра­ны, ее наци­ональ­ным инте­ресам и понима­нию того, как выс­тра­ивают­ся отно­шения меж­ду государс­тва­ми. Рос­сия не про­водит „нас­тупатель­ных“ опе­раций в вир­туаль­ной сре­де».

Ра­зуме­ется, не оста­вили без вни­мания взлом SolarWinds и полити­ки. В час­тнос­ти, гос­секре­тарь США Майк Пом­пео пуб­лично заявил, что за этой ата­кой «совер­шенно оче­вид­но» сто­ит Рос­сия, но поз­же пре­зидент США Дональд Трамп написал в сво­ем Twitter обратное. Трамп сооб­щил, что он был про­информи­рован о про­исхо­дящем, но кибера­таки чаще встре­чают­ся в фей­ковых новос­тях, нежели в реаль­нос­ти, а Рос­сию вспо­мина­ют, что бы ни слу­чилось, хотя, по мне­нию Трам­па, за этой ата­кой вооб­ще может сто­ять Китай.

В свою оче­редь, избран­ный пре­зидент США Джо Бай­ден рас­кри­тико­вал адми­нис­тра­цию Трам­па за отсутс­твие офи­циаль­ной реак­ции на взлом SolarWinds, а так­же за то, что пра­витель­ство мол­чит об атри­буции дан­ной ата­ки.

 

Пострадавшие

Сог­ласно офи­циаль­ным дан­ным, сре­ди 300 тысяч кли­ентов SolarWinds толь­ко 33 тысячи исполь­зовали Orion, а заражен­ная вер­сия плат­формы была уста­нов­лена при­мер­но у 18 тысяч кли­ентов.

По информа­ции FireEye, нев­зирая на ком­про­мета­цию 18 тысяч кли­ентов SolarWinds, хакеры про­дол­жили ата­ку лишь на сети 50 ком­паний, а экспер­ты Microsoft, в свою оче­редь, писали о том, что сумели иден­тифици­ровать око­ло 40 пос­тра­дав­ших из чис­ла сво­их кли­ентов. Microsoft сооб­щила, что 80% всех зат­ронутых орга­низа­ций находят­ся в США, а осталь­ные рас­сре­дото­чены по семи дру­гим стра­нам, а имен­но Бель­гии, Великоб­ритании, Изра­илю, Испа­нии, Канаде, Мек­сике и ОАЭ.

При­чем государс­твен­ный сек­тор — это лишь неболь­шая часть от все­го спис­ка жертв. Так, 44% пос­тра­дав­ших — это ИТ‑ком­пании (раз­работ­чики прог­рам­мно­го обес­печения и пос­тавщи­ки обо­рудо­вания).

В нас­тоящее вре­мя спи­сок под­твержден­ных пос­тра­дав­ших выг­лядит сле­дующим обра­зом:

  • аме­рикан­ская ИБ‑ком­пания FireEye;
  • Ми­нис­терс­тво финан­сов США;
  • На­циональ­ная адми­нис­тра­ция по информа­тике и телеком­муника­циям при Минис­терс­тве тор­говли США (NTIA);
  • На­циональ­ные инсти­туты здо­ровья при Минис­терс­тве здра­воох­ранения США (NIH);
  • Агентство по кибер­безопас­ности и защите инфраструк­туры, орга­низо­ван­ное при Минис­терс­тве внут­ренней безопас­ности США (DHS CISA);
  • Ми­нис­терс­тво внут­ренней безопас­ности (DHS);
  • Го­сударс­твен­ный депар­тамент США;
  • На­циональ­ное управле­ние по ядер­ной безопас­ности США (NNSA);
  • Ми­нис­терс­тво энер­гетики США;
  • ряд шта­тов и городов США;
  • ком­пания Microsoft;
  • ком­пания Cisco.

Так­же, сог­ласно резуль­татам собс­твен­ного рас­сле­дова­ния The Wall Street Journal, ата­ка зат­ронула таких гиган­тов, как Intel, NVIDIA, VMware и Belkin International.

Из­началь­но счи­талось, что выявить всех жертв этой вре­донос­ной кам­пании смо­гут толь­ко сами спе­циалис­ты SolarWinds, но по мере того, как дру­гие экспер­ты про­дол­жали изу­чать работу SUNBURST, они обна­ружи­ли некото­рые осо­бен­ности. Нап­ример, свя­зан­ные с тем, как она работа­ет со сво­им управля­ющим сер­вером.

Вы­ясни­лось, что SUNBURST отправ­ляет дан­ные, соб­ранные в заражен­ной сети, на URL-адрес сво­его C&C-сер­вера, уни­каль­ный для каж­дой жер­твы. Уни­каль­ные URL-адре­са были под­домена­ми avsvmcloud[.]com и сос­тояли из четырех час­тей, пер­вая из которых пред­став­ляла собой на пер­вый взгляд слу­чай­ную стро­ку. Одна­ко ско­ро ИБ‑иссле­дова­тели поняли, что име­ют дело с алго­рит­мом DGA и эта стро­ка на самом деле не была слу­чай­ной, а содер­жала закоди­рован­ное имя домена локаль­ной машины жер­твы.

В резуль­тате сра­зу нес­коль­ко ком­паний и незави­симых иссле­дова­телей взя­лись ана­лизи­ровать исто­рию тра­фика и дан­ные passive DNS, что­бы соб­рать информа­цию о тра­фике avsvmcloud.com, обна­ружить под­домены, а затем вычис­лить ком­пании, которые уста­нови­ли заражен­ные вер­сии Orion.

Та­ким обра­зом, пуб­ликацию спис­ков пос­тра­дав­ших ком­паний и орга­низа­ций уже начали экспер­ты из ком­паний Truesec и Prevasio, незави­симый иссле­дова­тель Деван Чауд­хари (Dewan Chowdhury), а так­же китай­ская фир­ма QI-ANXIN.

Report Page