Добрый вечер Самураи! За новостями об украинской власти, пандемии и бессонными ночами за Киберпанком 2077 многие из нас пропустил тот момент, когда мир разделился на ДО и ПОСЛЕ. Давайте окунемся в случившемся 14 декабря 2020. Washington Post опубликовал статью с информацией от анонимного источника о деталях взлома правительственных учреждений США. Что же произошло, почему мы 14 декабря проснулись уже в новом мире и что делать дальше?

Коротко о том, что произошло. Есть такая группа российских хакеров Cozy Bear, которая по мнению западных спец. служб работает под эгидой ФСБ РФ (это цитата из российской Википедии). Вот перечень жертв известных успешных операций этого спец-отряда:

  • Белый Дом
  • Государственный Департамент США
  • Пентагон
  • Правительство Норвегии
  • Выборы США (именно ТОТ инцидент)
  • Великобритания, США и Канада — похищенные данные по вакцине от Ковид

Думаю очевидно, что это далеко не полный список. Так вот, по информации анонимного источника именно эта группа хакеров нашла уязвимость в программном обеспечении SolarWinds Orion. И благодаря этой уязвимости получили полный доступ к инфраструктуре клиентов этой системы. И здесь я имею в виду не просто возможность передать байт или два, не просто получили доступ в DMZ. Я имею в виду, что эти злоумышленники в штатском загружали сотни метров шпионского софта и выкачивали терабайты данных. То есть, чувствовали себя не менее вальяжно чем sudo root superadmin пользователь. Как долго эта когорта бесславных бушевала в корпоративных сетях сказать сейчас не может никто. Эксперты говорят, что не менее полгода.

Почему мы об этом знаем? В каждой истории есть свой герой. Герой этой — Кевин Томпсон из FireEye. Именно FireEye предоставляли услуги безопасности значительной части государственных учреждений США и именно FireEye пользовались Orion. Произошло то, что произошло, а именно — Cozy Bear влезли и к ним. Похитили данные и целый набор новейших и даже засекреченных инструментов для взлома. FireEye, соответственно, использовали их в своей работе не для хакинга, а для усиления безопасности. Почему я называю его героем? Потому что благодаря волевому решению — мы знаем о том, что произошло. Компания сделала официальное заявление, признала, что ее взломали и предоставила все детали.

Каков механизм этого взлома? Ниже короткая схема. Это схема буквально первого уровня, так как получая доступ к данным пользователей системы хакеры получали доступ к подрядчикам и клиентам этих пользователей. По сути, все началось с серверов обновления системы. Кстати, известный всем украинском вирус Petya, тоже был распространен именно таким образом, правда тогда пострадали и заражали всех серверы MEDoc. Широкой общественности точно не известно кто стоял за той атакой, но украинские специалисты (и я в их числе) проводят четкую параллель между этой и той атакой. Почерк тот же.

По сути, атака происходила в следующие этапы:

Доступ к серверам обновления SolarWinds Orion через уязвимость семейства SunBurst

Заражение пакетов обновлений злонамеренным кодом, который маскирует подключения хакеров под подписью Orion (как раз тот самый бэкдор)

Вход в системы зараженных пользователей и использование всего арсенала инструментов хакеров, используя подпись Orion, для получения доверия сторонних систем

Скачивание полезных данных

Оставление других дверей, червей, настроек, которые позволят вернуться в любой момент

Чем отличается этот инцидент от сотен других? Думаю те, кто в теме, уже догадались:

Масштаб

Продолжительность

Скрытность

Даже сейчас мы не знаем сколько точно пользователей были скомпрометированы, знаем только что не менее 18 000. Мы не знаем как долго продолжалась эта операция, знаем только что не менее полгода, не знаем что было сделано, что оставили после себя эти сыщики. И о чем говорить! Даже сейчас вы можете читать эти строки из скомпрометированого ноутбука, и российский хакер через вебкамеру может смотреть на вашу удивленную физиономию. Побежал холодок по спине? То-то и оно.

Как события развиваются последние дни. ФБР и АНБ открыли дела и начали официальное расследование. FireEye опубликовало список всех украденных инструментов. Хотя по правде, оказалось что большинство из них уже гуляли по просторам дарквебу, то есть их сломали не неделю назад, а какое-то значительное время назад. Даже ваш покорный слуга нашел архивчик с определенным набором этих инструментов, поэтому можете быть уверены что все сообщество киберпреступников УЖЕ вооруженное тайными разработками американцев. Также опубликованы патчи и рекомендации на Гитхаби от FireEye. Здесь. SolarWinds в свою очередь опубликовал обновление, которое по их словам, закрыло уязвимость. Опубликовал и … закрылся, приняв обыски ФБР. Федеральные агентства США просто выключили все свои SolarWinds Orion. По стечению обстоятельств или нет, но 15 декабря ложились сервисы Google и куча других сервисов. Украина отреагировала предупреждением СНБО и … ну, собственно, все 🙂

Какую информацию откопал интернет? Здесь понятно, что официальное расследование закончится не скоро. И даже как закончится не понятно какая часть результатов будет засекречена. То есть, правду об этих событиях человечество точно будет знать только через несколько поколений. Но в современном мире следует обратить внимание пользователей, как многое выплывает наружу.

Несколько фактов на подумать и посмеяться:

Что делать?

А теперь к самому интересному — что делать с Solarigate (SolarWinds Watergate)? А никто не знает 🙂 И это самое страшное. Сегодня ясно одно — решение этой ситуации нет. Есть конечно очевидные пути защиты (будет немножко рекламы):

  1. Выключить Orion, если он есть
  2. Обновить его, а еще лучше — мигрировать на аналог, скажем на Motadata
  3. Принудительно провести проверку ПК и серверов, скажем антивирусом BullGuard
  4. Проверить или поставить фаерволы
  5. Провести сканирование локальной сети и веб-сайтов на уязвимости, скажем Acunetix или NetSparker
  6. Перенаправить доступы к критическим серверам через PAM, скажем ARCON
  7. Поставить DLP, скажем Endpoint Protector, чтобы хакеры не украли хотя бы ценную информацию

А вообще, по-хорошему, стоит составить план и:

  • сделать бэкапы данных (не снимки систем, а именно бэкапы данных, чтобы не резервировать злонамеренный код)
  • снести сервисы, службы, системы
  • установить системы заново
  • восстановить данные с бэкапа
  • повторно проверить уже восстановленную систему

А вот здесь у нормальных админов глаза полезли на лоб. И правильно, потому что это полный капец. Такой капец, что представить трудно. А придется его решать, не зря эксперты говорят, что мир (то есть крупные компании и организации) смогут закрыть последствия этой операции не ранее чем через полгода.

Поэтому поздравляю вас! Завтра уже наступило, наступило оно тайно, скрыто от глаз, но полностью и неотвратимо. Приветствую вас в новом кибер-мире, и пусть он пока выглядит несколько апокалиптически, для нас сейчас главное быстро и квалифицированно реагировать, чтобы выжить в нем.

Андрей Михалюк, CEO CoreWin