A SolarWind eset margójára

Joe Slowik, a DomainTools elemzője egy zseniális cikket rakott össze a SolarWind incidenssel kapcsolatban eddig megjelent információkról. A nyomozásnak, az eseménysor feltárásának még koránt sincs vége, és nem is én vagyok a megfelelő ember arra, hogy megszakértsem, mi történt, hogyan és miért, de fontosnak látok kiemelni két gondolatot Joe írásából.

Atribúció

Ahogy ebben a posztomban már írtam, a FireEye jelzését követően szinte mindenki azonnal medvét kiáltott, majd két hétre rá az USA elnöke szembement a külügyminiszterével, és inkább Pandát mondott. Joe írása ha lehet, még jobban árnyalja a képet. Arról ír ugyanis, hogy a legtöbb USA kormányzati, vagy kormányközeli forrása APT29-et emleget, addig a nagyobb biztonsági cégek inkább új neveket találnak ki (UNC2452 – FireEye, DarkHalo – Volexity, SolarStorm – PaloAlto), jó eséllyel nem véletlenül. A szemlézett cikk szerzője megemlíti azt is, hogy még az APT29 elnevezés használatban is következetlenek a források: vannak, akik egyenlőségjelet tesznek az SZVR (Külső Hírszerző Szolgálat – felderítés) és az APT29 közé, vannak már olyanok, akik inkább az FSZB-hez (Szövetségi Biztonsági Szolgálat – elhárítás) kötik őket, mások úgy oldják fel a gordiuszi csomót, hogy az „orosz biztonsági szolgálatok” gyűjtőnevet használják. A szerző megjegyzi, hogy azok, akik több, átfogó információval rendelkeznek a támadással kapcsolatban a viselkedés alapú atribúciót részesítik előnyben, ahol az elnevezés kapcsolatban áll az összegyűjtött viselkedésmintával. Ezen gondolatot tovább gondolva lehet, hogy több jelentőséget kellene tulajdonítani az ATT&CK keretrendszernek, vagy azt továbbfejlesztve egy újabb, átfogóbb rendszernek. Az ATT&CK már csak azért sem a legoptimálisabb, mert a FireEye által tartott tájékoztatóban szereplő egyes támadásformákat a cég nem tudta a keretrendszerbe besorolni, így nem tudott számot sem hozzárendelni. Minden esetre érdekes gondolatmenet, projekt lehetne az, hogy egy olyan egységes elnevezési keretrendszer kerüljön kialakításra, mely alapját a viselkedés, a TTP (Tools, Techniques, Procedures) adja, és nem az, hogy ki a kenyéradó gazdája az adott fenyegetésnek. Persze ez csak a fő irányvonalat jelentené, hiszen nyilvánvalóan a viselkedés és a támadás kivitelezése önmagában nem jelent semmit, de alapot szolgáltathatna egy olyan rendszernek, ahol az IoC-k (Indicator of Compromise) is szerepet kapnak, és azonosítani lehetne ezek alapján a hasonlóan viselkedő, vagy hasonló eszközöket használó csoportokat…


Védekezés és helyreállítás

Az összefoglaló másik (számomra) érdekes gondolata a védekezés, hatáscsökkentés és elhárítás fejezete volt. Fő üzenete az volt, hogy ismerd a rendszered, tartsd karban az asset-listádat, és figyelj oda az anomáliákra. Lehet, hogy a támadók egy újszerű, eddig nem látott módon jutottak be a rendszeredbe, de a „oldalmozgás” során már hagyniuk kell nyomokat, pl.: egy olyan szerver irányából kezdeményez valaki vagy valami kapcsolatot más kiszolgálók felé, ahová jellemzően oda irányba csatlakoznak az üzemeltetők, és nem onnan. A FireEye is egy hasonló, gyanús távoli hozzáférés vizsgálata közben jött rá, hogy valami nem kerek. Szóval, ha az ember figyel az anomáliákra, és azokat alaposan ki is vizsgálja, jelentősen megnöveli annak az esélyét, hogy egy fertőzést idejekorán felismer.


Végezetül

A Thai CERT is kiadott egy összefoglalót, ami összegyűjti az eddig (december 21) megjelent fontosabb publikációkat, és egy kis elemzést is ad azzal kapcsolatban, mi történt. A kiadvány itt található.

2 thoughts on “A SolarWind eset margójára

Comments are closed.