Хакери, пов’язані з російськими спецслужбами, здійснили атаку на Казначейство США, Національне управління з питань телекомунікацій та інформації (NTIA), Міністерство торгівлі та інші урядові установи з метою моніторингу внутрішнього поштового трафіку в рамках широкомасштабної кампанії кібершпіонажу.

The Washington Post з посиланням на анонімні джерела повідомила, що останні атаки були справою рук APT29 або Cozy Bear, тієї ж хакерської групи, яка, як вважають, організувала злом американської компанії FireEye, що займається кібербезпекою, кілька днів тому, що привело до крадіжки інструментів тестування на проникнення фахівців Red Team.

«Компрометація продуктів Orion Network Management компанії SolarWinds створює неприйнятні ризики для безпеки федеральних мереж», – сказав Брендон Уельс, виконуючий обов’язки директора Агентства з кібербезпеки і безпеки інфраструктури США (CISA), яке випустило надзвичайну директиву, яка закликає федеральні цивільні агентства перевіряти свої мережі на предмет підозрілої активності та негайно вимикати продукти SolarWinds Orion.

Мотив і повний обсяг даних, які були скомпрометовані, залишаються неясними, але є ознаки того, що зловмисники втрутилися в оновлення програмного забезпечення, випущене постачальником ІТ-інфраструктури з Техасу SolarWinds на початку цього року, щоб проникнути в системи державних установ, а також в компанію FireEye для проведення ланцюжка масштабних атак.

Мережеві продукти і продукти безпеки SolarWinds використовують більш ніж 300 000 клієнтів по всьому світу, включаючи компанії зі списку Fortune 500, урядові установи і навчальні заклади.

Він також обслуговує найбільші телекомунікаційні компанії США, всі п’ять відділень збройних сил США та інші урядові організації, такі як Пентагон, Державний департамент, НАСА, Агентство національної безпеки, Поштова служба, NOAA, Міністерство юстиції і Канцелярія президента США.

Бекдор SUNBURST

FireEye, яка відстежує поточну кампанію вторгнень під назвою «UNC2452», заявила, що атака на ланцюжок поставок використовує оновлення програмного забезпечення SolarWinds Orion для поширення бекдору під назвою SUNBURST.

«Ця кампанія, можливо, почалася ще навесні 2020 року і в даний час триває», – йдеться в недільному аналізі FireEye. «Дії з виявлення компрометації, що послідували за цим порушенням ланцюжка поставок, включали бічне переміщення і крадіжку даних. Кампанія – це робота висококваліфікованого фахівця, і операція проводилася зі значною оперативною безпекою».

Бекдор SolarWinds

Ця шахрайська версія модуля SolarWinds Orion, крім маскування свого мережевого трафіку під протокол Orion Improvement Program (OIP), також обмінюється даними через HTTP з віддаленими серверами, щоб витягувати і виконувати шкідливі команди, які покривають весь діапазон шпигунського ПЗ, в тому числі для передачі файлів, виконання файлів, профілювання і перезавантаження цільової системи, а також відключення системних служб.

Orion Improvement Program (OIP) в основному використовується для збору статистичних даних про продуктивність і використання від користувачів SolarWinds з метою поліпшення продукту.

Більш того, IP-адреси, які використовуються для кампанії, були приховані VPN-серверами, розташованими в тій же країні, що і жертва, щоб уникнути виявлення.

В Microsoft також підтвердили цю інформацію результатами окремого аналізу, заявивши, що атака (яку називає «Solorigate») використовувала довіру, пов’язану з програмним забезпеченням SolarWinds, для установки шкідливого коду в рамках масштабнішої кампанії.

«Клас шкідливого ПЗ був замаскований серед багатьох інших легітимних класів, а потім підписаний легітимним сертифікатом», – сказав виробник Windows. Отриманий бінарний файл включав бекдор і потім непомітно поширювався серед цільових організацій».

Коментарі SolarWinds

У повідомленні з безпеки, опублікованому SolarWinds, компанія заявила, що атака націлена на версії 2019.4-2020.2.1 програмного забезпечення SolarWinds Orion Platform, випущеного в період з березня по червень 2020 року, і рекомендувала користувачам негайно перейти на платформу Orion версії 2020.2.1 HF 1.

Фірма, яка в даний час розслідує атаку у співпраці з FireEye і Федеральним бюро розслідувань США, також планує випустити 15 грудня додаткове виправлення 2020.2.1 HF 2, яке замінює скомпрометований компонент і забезпечує кілька додаткових заходів безпеки.

Минулого тижня FireEye повідомила, що стала жертвою витонченої атаки, в результаті якої були скомпрометовані її програмні інструменти, які використовуються для перевірки захисту її клієнтів.

В цілому 60 вкрадених інструментів Red Team представляють собою суміш загальнодоступних інструментів (43%), модифікованих версій загальнодоступних інструментів (17%) і тих, які були розроблені власними силами (40%).

Крім того, крадіжка також включає корисні навантаження експлойтів, які використовують критичні уразливості в Pulse Secure SSL VPN (CVE-2019-11510), Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) і служби віддалених робочих столів Windows (CVE-2019-0708).

Шахрайська кампанія, зрештою, здається атакою на ланцюжок поставок в глобальному масштабі, оскільки FireEye заявила, що виявила цю діяльність в декількох організаціях по всьому світу, включаючи державні, консалтингові, технологічні, телекомунікаційні та видобувні компанії в Північній Америці, Європі, Азії і на Близькому Сході.

Рішення

Поки SolarWinds розбирається з наслідками атаки та випускає оновлення, щоб закрити цю «діру» в безпеці, пропонуємо звернути увагу на аналог – Motadata.