Mégsem ellátási lánc támadás

A francia CERT (Agence nationale de la sécurité des systèmes d’information – ANSSI) hétfői bejelentése alapján ismét szakértők tucatjai kapták fel a fejüket, és voltak, akik már az IT biztonság, illetve annak illúziójának végét vizionálták. Termesztésen érhető, hogy a SolarWindset ért támadást követően az emberek érzékenyek a témára, pláne, hogy még alig telt el idő a támadás bejelentése óta (bár a PaloAlto Networks [Unit 42] szerint Ők már jóval a FireEye bejelentése előtt tudtak egyet s mást a SolarWindszel kapcsolatos aggályokról), és íme, még egy olyan támadás, ahol a bűnözők (vagy támadók) egy olyan terméket fertőznek meg, melyben az emberek feltétlen módon megbíznak.

Kivéve, ha nem.

A hétfői bejelentést követően, február 16 -án az érintett és nevén nevezett gyártó sajtóközleményt adott ki, amiben az alábbiakat szögezik le:

• Az ANSSI által vizsgált termék a gyártó egy elavult, nyílt forráskódú, már öt éve nem támogatott terméke (Centreon v2.5.2), és azóta a gyártó már nyolc főverzióval előrébb jár.
• A gyártó számos ügyfele közül (Airbus, Thales, EDF, Total, francia igazságügyi minisztérium, Sanofi) egy sem érintett, és csupán tizenöt olyan szervezet esett áldozatul, akik a fent megnevezett verziót használták, de Ők nem ügyfelei a Centreonnak.
• A gyártó -természetesen- nem terjeszt és nem propagál káros kódokat.
• Illetve az ANSSI által jelzett kampánynak már vége van.

Mindezekből, illetve az ANSSI jelentés értő olvasásából következik, hogy ez a támadás nem az az ellátási lánc támadás, amit keresünk.

A fentiektől függetlenül természetesen, maga a jelentés nem elbagatellizálandó, több okból is:

• A támadás által átölelt idő (2017-2020 között) és az alkalmazott diszkréció miatt nem egy első felindulásból elkövetett csínnyel van dolgunk, inkább ipari kémkedés, információszerzés állhatott a háttérben.
• Európának is kell a sikerélmény: Az EUROPOL és az együttműködő szervek sikeres akcióját követően felszámolásra került egy közismert botnet hálózat, majd kisvártatva egy európai CERT tár fel és hoz nyilvánosságra (minimális attribúcióval!) egy jelentős támadást.
• Felhívja a figyelmet arra, hogy egy termék még nem megbízható csak azért, mert az Open Source. A gyártó nyilatkozatában is az áll, hogy az érintett terméket úgy telepítették és integrálták (az áldozatok), hogy a legelemibb biztonsági követelményeket is alig tartották szem előtt.
• Ahogy a Microsoft és az NSA is megjósolta, a webshell támadások egyre elterjedtebbé válnak napjainkra.
• A SandWorm csoport tevékenysége önmagában sem elhanyagolható tényező: csak 2020-ban számos támadást kötnek a nevükhöz, de azt megelőzően is meglehetősen aktívak voltak (hozzájuk kötik többek közt a 2016-os USA elnökválasztását befolyásolni próbáló EXIM MTA támadást, Ukrajna ellen indított több támadást, vagy akár kémkedést a NATO ellen). Minden esetre a mostani támadás kissé eltér a korábban megismert támadási módtól, hiszen – ha hinni lehet a szakértőknek – korábban jellemzően Ukrajnát, az energiaipart, a médiát és az ipari irányítórendszereket támadták (bár a mostani áldozatok kiléte egyelőre homályos).

Tanulság? Szerintem több is van. Egyrészt az ember, ha kalapács van a kezében, mindent szögnek lát – ennek analógiája szerint, ha mindenki az ellátási lánc támadásról beszél, akkor a legközelebbi támadás is az lehet, ha első nézésre annak látszik. Másodsorban pedig nem biztos, hogy Európának szégyenkeznie kell az USA előtt, ha kiberbiztonságról van szó. Hollandia, Németország, Franciaország és Finnország elég jól teljesít, és ezen a téren az összefogás és az együttműködés is egyre jobbnak tűnik, legalábbis onnan nézve, ahol én ülök. Harmadsorban pedig még az is tanulság lehet, hogy igenis oda kell figyelni a biztonság minden szegletére, nem elég csak a vár kapuját védeni, ha öt éve nem támogatott rendszert, alkalmazást használunk, akkor épp elég kiskaput hagyunk nyitva máshol, ahol az ellen betörhet. Ezért nemcsak az ellátási lánc biztonsága fontos, hanem az üzemeltetés biztonság, a határvédelem, és a megfelelő biztonsági irányelvek maradéktalan alkalmazása és betartása is.

Talán egy utolsó gondolat: Snowden óta tudjuk, hogy a nyugati hatalmak sem ülnek tétlenül, ha épen szükségük van bármilyen információra. Miért vagyunk meglepődve, ha az ellenoldal (állítólag) is hasonló eszközökhöz nyúl, ha politikai vagy gazdasági érdeke úgy kívánja? Ezzel nem relativizálni szerezném a támadást, de amíg szuperhatalmak olyan kiberfegyverekkel és elit csapatokkal rendelkeznek, amilyenekkel (állítólag) rendelkeznek, és a kibertérben folytatott műveleteknek nincsenek nemzetközileg elfogadott normáik, valamint az ilyen műveleteket nem követi retorzió, addig ne várjuk, hogy az ilyen esetek száma csökkenni fog. Oroszország sem véletlenül készült fel arra, hogy lezárja a nemzetközi kapcsolatait, és saját RuNettel folytassa tovább életét, ha a körülmények azt követelik meg…

(Források [a fent linkelteken túl]:)

1. https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-only-hit-orgs-with-old-centreon-software/
2. https://securityaffairs.co/wordpress/114680/apt/centreon-software-attack.html?utm_source=rss&utm_medium=rss&utm_campaign=centreon-software-attack
3. https://www.zdnet.com/article/centreon-says-only-15-entitites-were-targeted-in-recent-russian-hacking-spree/#ftag=RSSbaffb68
4. https://www.securityweek.com/french-firm-centreon-denies-damaging-hacking-claims?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
5. https://thehackreport.com/french-organizations-being-targeted-by-hackers-via-exploitation-of-centreon/
6. https://tech.slashdot.org/story/21/02/15/2253248/france-says-russian-state-hackers-targeted-it-monitoring-firm-centreons-servers-in-years-long-campaign?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29
7. https://www.zdnet.com/article/france-russian-state-hackers-targeted-centreon-servers-in-years-long-campaign/#ftag=RSSbaffb68
8. https://www.securityweek.com/sandworm-hackers-hit-french-monitoring-software-vendor-centreon?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29
9. https://www.france24.com/en/france/20210216-france-uncovers-cybersecurity-breaches-linked-to-russian-hackers