SolarWinds: az ellátási lánc támadása

A SolarWinds elleni támadás nagyságrendileg 18 000 vállalatot érint. Márciusban a frissítésekbe rejtett backdoorral sikerült elérnie a támadóknak, hogy olyan szervezeteket is célpontként tudjon kezelni, mint a FireEye, vagy az USA Kereskedelmi és Pénzügyminisztériuma, vagy a Belbiztonsági Minisztérium egyes rendszerei, és az érintett szervezetek száma egyre nő és nem mindegyik publikus.

A támadásokat az orosz külügyi hírszerző szolgálat, az SVR hackereihez kötik, akiket egyes fenyegetéselemzők APT 29 vagy Cozy Bear néven tartanak számon. Jelenleg az incidenskezelő szervezetek keresik a nyomokat, amivel sikerül pontosan azonosítani a támadókat. Eddig annyit tudnak biztosan, hogy a támadás forrása a SolarWinds informatikai infrastruktúra- és hálózatkezelő cégre vezethetők vissza, amelynek termékeit az Egyesült Államok kormánya, számos védelmi vállalkozó és a legtöbb Fortune 500 vállalat használja. 

SolarWinds nyilatkozata szerint a hackereknek sikerült megváltoztatni az Orion hálózati felügyeleti eszköz március és június között megjelent frissítésének tartalmát, amit nagyságrendileg 180.000 szervezet használ. Ezekbe a frissítési csomagokba rejtették a kártékony kódokat, ami bejárást (backdoor) engedett a támadóknak, akik így a célrendszeren megkeresték a hozzáférési tokeneket, admin jogosultságokat (privilégium eszkaláció) készítettek és elkezdték szűrni, felderíteni a rendszereket, majd megszerezték az adatokat, információkat amire szükségük volt, például a FireEye-tól az offenzív, RedTeam eszközöket.

Ez a fajta úgynevezett ellátási lánc támadás (supply chain attack) súlyos következményekkel járhat, hiszen egy megbízhatóként kezelt beszállító cég, gyártó támadásával a hackerek hatékonyan és nagymértékben károsan befolyásolhatják a biztonságot, a legtöbb esetben hosszú ideig láthatatlanul.

Nem az első alkalommal használja Oroszország az ellátási lánc támadást. 2017-ben a katonai hírszerzéshez (GRU) kötött támadás során az MeDoc ukrán számviteli szoftvertől indult el NotPetya malware, ami kifejezetten a rombolásra készült. Ezzel szemben, jelenleg úgy tűnik, hogy a SolarWinds és ügyfelei elleni támadás a megsemmisítés helyett a célzott felderítésre összpontosított. Az ilyen csendes, háttérben működő műveletek során a kár teljes mértéke nem lesz könnyen azonosítható. Miután a támadók beépültek a célhálózatokba – amelyeket tartós támadások megalapozásának (establishing persistence) neveznek -, a megtámadott rendszerek frissítése nem elegendő a támadás megszüntetéséhez, a támadók eltüntetéséhez.

A támadás méretét jól mutatja, hogy a Fehér Ház Nemzetbiztonsági Tanácsa szombaton rendkívüli ülést tartott. Ugyanakkor az orosz nagykövetség a maga részéről tagadta, hogy az országa részt venne az amerikai kormányzati szervek elleni támadásban. A nagykövetség közleménye kiemelte, hogy “Oroszország nem végez támadó műveleteket a kibertérben”.

Valójában a támadás jelenleg is tart. A potenciális fertőzések azonosításának és forrásuk felkutatásának folyamata időigényes.

SolarWind nyilatkozata: https://www.solarwinds.com/securityadvisory

FireEye a SolarWind támadásról: https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

Microsoft a SolarWind támadásról: https://blogs.microsoft.com/on-the-issues/2020/12/13/customers-protect-nation-state-cyberattacks/

Forbes: a SolarWind felhasználói

Forrás: https://www.wired.com/story/russia-solarwinds-supply-chain-hack-commerce-treasury/

One thought on “SolarWinds: az ellátási lánc támadása

Comments are closed.