Спонсируемые государством субъекты, предположительно работающие на Россию, напали на Казначейство США, Национальное управление по телекоммуникациям и информации (NTIA) Министерство торговли и другие правительственные учреждения с целью мониторинга внутреннего почтового трафика в рамках широкомасштабной кампании кибершпионажа.

The Washington Post со ссылкой на анонимные источники сообщила, что последние атаки были делом рук APT29 или Cozy Bear, той же хакерской группы, которая, как полагают, организовала взлом американской компании FireEye, занимающейся кибербезопасностью, несколько дней назад, что привело к краже инструментов тестирования на проникновение специалистов Red Team.

«Компрометация продуктов Orion Network Management компании SolarWinds создает неприемлемые риски для безопасности федеральных сетей», — сказал Брэндон Уэльс, исполняющий обязанности директора Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), которое выпустило чрезвычайную директиву, призывающую федеральные гражданские агентства проверять свои сети на предмет подозрительной активности и немедленно отключать или выключать продукты SolarWinds Orion.

Мотив и полный объем данных, которые были скомпрометированы, остаются неясными, но есть признаки того, что злоумышленники вмешались в обновление программного обеспечения, выпущенное поставщиком ИТ-инфраструктуры из Техаса SolarWinds в начале этого года, чтобы проникнуть в системы государственных учреждений, а также в компанию FireEye для проведения цепочки масштабных атак.

Сетевые продукты и продукты безопасности SolarWinds используют более чем 300 000 клиентов по всему миру, включая компании из списка Fortune 500, правительственные учреждения и образовательные учреждения.

Он также обслуживает крупнейшие телекоммуникационные компании США, все пять отделений вооруженных сил США и другие видные правительственные организации, такие как Пентагон, Государственный департамент, НАСА, Агентство национальной безопасности, Почтовая служба, NOAA, Министерство юстиции и Канцелярия президента США.

Бэкдор SUNBURST

FireEye, которая отслеживает текущую кампанию вторжений под названием «UNC2452», заявила, что атака на цепочку поставок использует троянизированные обновления программного обеспечения SolarWinds Orion для распространения бэкдора под названием SUNBURST.

«Эта кампания, возможно, началась еще весной 2020 года и в настоящее время продолжается», — говорится в воскресном анализе FireEye. «Действия по обнаружению компрометации, последовавшие за этим нарушением цепочки поставок, включали боковое перемещение и кражу данных. Кампания — это работа высококвалифицированного специалиста, и операция проводилась со значительной оперативной безопасностью».

Бэкдор SolarWinds

Эта мошенническая версия подключаемого модуля SolarWinds Orion, помимо маскировки своего сетевого трафика под протокол Orion Improvement Program (OIP), как утверждается, обменивается данными через HTTP с удалёнными серверами, чтобы извлекать и выполнять вредоносные команды, которые покрывают весь диапазон шпионского ПО, в том числе для передачи файлов, выполнения файлов, профилирования и перезагрузки целевой системы, а также отключения системных служб.

Orion Improvement Program (OIP) в основном используется для сбора статистических данных о производительности и использовании от пользователей SolarWinds в целях улучшения продукта. Более того, IP-адреса, используемые для кампании, были скрыты VPN-серверами, расположенными в той же стране, что и жертва, чтобы избежать обнаружения.

Microsoft также подтвердила результаты в отдельном анализе, заявив, что атака (которую она называет «Solorigate») использовала доверие, связанное с программным обеспечением SolarWinds, для установки вредоносного кода в рамках более крупной кампании.

«Класс вредоносного ПО был включён среди многих других легитимных классов, а затем подписан легитимным сертификатом», — сказал производитель Windows. Полученный двоичный файл включал бэкдор и затем незаметно распространялся среди целевых организаций».

Комментарии SolarWinds

В сообщении по безопасности, опубликованном SolarWinds, компания заявила, что атака нацелена на версии 2019.4–2020.2.1 программного обеспечения SolarWinds Orion Platform, выпущенного в период с марта по июнь 2020 года, и рекомендовала пользователям немедленно перейти на платформу Orion версии 2020.2.1 HF 1.

Фирма, которая в настоящее время расследует атаку в сотрудничестве с FireEye и Федеральным бюро расследований США, также планирует выпустить 15 декабря дополнительное исправление 2020.2.1 HF 2, которое заменяет скомпрометированный компонент и обеспечивает несколько дополнительных мер безопасности.

На прошлой неделе FireEye сообщила, что стала жертвой изощрённой атаки иностранного правительства, в результате которой были скомпрометированы её программные инструменты, используемые для проверки защиты её клиентов.

В общей сложности 60 украденных инструментов Red Team представляют собой смесь общедоступных инструментов (43%), модифицированных версий общедоступных инструментов (17%) и тех, которые были разработаны собственными силами (40%).

Кроме того, кража также включает полезные нагрузки эксплойтов, которые используют критические уязвимости в Pulse Secure SSL VPN (CVE-2019-11510), Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) и Службы удалённых рабочих столов Windows (CVE-2019-0708).

Мошенническая кампания, в конечном счёте, кажется атакой на цепочку поставок в глобальном масштабе, поскольку FireEye заявила, что обнаружила эту деятельность в нескольких организациях по всему миру, включая государственные, консалтинговые, технологические, телекоммуникационные и добывающие компании в Северной Америке, Европе, Азии и на Ближнем Востоке.

Решение

Пока SolarWinds разбирается с последствиями атаки и выпускает обновления, чтобы закрыть эту «дыру» в безопасности, предлагаем обратить внимание на аналог — Motadata.