Добрий вечір Самураї! За новинами про українську владу, пандемію та безсонними ночами за Кіберпанком 2077 багато хто з нас пропустив той момент, коли світ розділився на ДО і ПІСЛЯ. Нумо зануримось в те, що трапилось 14 грудня 2020 року. Washington Post опублікував статтю з інформацією від анонімного джерела про деталі злому урядових закладів США. Що ж сталось, чому ми 14 грудня прокинулись вже в новому світі та що робити далі?

Коротко про те, що сталось. Є така група російських хакерів Cozy Bear, яка за думкою західних спец. служб працює під егідою ФСБ РФ (це цитата з російської вікіпедії). Деякий перелік жертв відомих успішних операцій цього спец-загону:

  • Білий Дім
  • Державний Департамент США
  • Пентагон
  • Уряд Норвегії
  • Вибори США (саме ТОЙ інцидент)
  • Велика Британія, США і Канада – викрадені дані по вакцині від Ковід

Думаю очевидно, що це далеко не повний список. Так от, по інформації анонімного джерела саме ця група хакерів знайшла вразливість в програмному забезпеченні SolarWinds Orion. І завдяки цій вразливості отримали повний доступ до інфраструктури клієнтів цієї системи. І тут я маю на увазі не просто змогу передати байт чи два, не просто отримали доступ в DMZ. Я маю на увазі, що ці зловмисники в штатському вкачували сотні метрів шпигунського софта і викачували терабайти даних. Тобто, відчували себе не менш вальяжно ніж sudo root superadmin користувач. Як довго ця когорта безславних бешкетувала в корпоративних мережах сказати зараз не може ніхто. Експерти кажуть, що не менше ніж пів року.

Чому ми про це знаємо? У кожної історії є свій герой. Герой цієї – Кевін Томпсон з FireEye. Саме FireEye надавали послуги безпеки значній частині державних установ США і саме FireEye користувались Orion. Сталося те, що сталося, а саме – Cozy Bear влізли і до них. Викрали дані та цілий набір новітніх і навіть засекречених інструментів для злому. FireEye, відповідно, використовували їх у своїй роботі не для хакінгу, а для посилення безпеки. Чому я називаю його героєм? Тому що завдяки вольовому рішенню – ми знаємо про те, що сталося. Компанія зробила офіційну заяву, визнала, що її зламали та надала всі деталі.

Який механізм цього злому? Нижче коротка схема. Це схема буквально першого рівня, тому що отримуючи доступ до даних користувачів системи хакери отримували доступи до підрядників і клієнтів цих користувачів. По суті, все почалося з серверів оновлення системи. До речі, відомий усім українцям вірус Petya, теж був розповсюджений саме таким чином, правда тоді постраждали та заражали усіх сервери MEDoc. Широкому загалу достеменно не відомо хто стояв за тою атакою, але українські спеціалісти (і я в їх числі) проводять чітку паралель між цією і тою атакою. Почерк той самий.

По суті, атака відбувалася в такі етапи:

Отримання доступу до серверів оновлення SolarWinds Orion через вразливість сімейства SunBurst

Зараження пакетів оновлень зловмисним кодом, який маскує підключення хакерів під підписом Orion (якраз той самий бекдор)

Вхід до систем заражених користувачів та використання всього арсеналу інструментів хакерів, використовуючи підпис Orion, для отримання довіри сторонніх систем

Викачування корисних даних

Залишення інших дверцят, хробаків, налаштувань, які дозволять повернутись в будь-який момент

Чим відрізняється цей інцидент від сотень інших? Думаю ті, хто в темі, вже здогадались:

Масштаб

Тривалість

Прихованість

Навіть зараз ми не знаємо скільки точно користувачів були скомпрометовані, знаємо тільки що не менше ніж 18 000. Ми не знаємо як довго тривала ця операція, знаємо тільки що не менше ніж пів року, не знаємо що було зроблено, що залишили після себе ці нишпорки. Та про що говорити! Навіть зараз ви можете читати ці рядки через скомпрометований ноутбук, і російський хакер через вебкамеру може дивитись на вашу здивовану мармизу. Побіг холодок по спині? Отож-бо і воно.

Як події розвиваються останні дні. ФБР і АНБ відкрили справи та почали офіційне розслідування. FireEye опублікувало список всіх вкрадених інструментів. Хоча по правді, виявилось що більшість з них уже гуляли просторами дарквебу, тобто їх зламали не тиждень тому, а якийсь значний час назад. Навіть ваш покірний слуга знайшов архівчик з певним набором цих інструментів, тому можете бути певні що вся спільнота кіберзлочинців ВЖЕ озброєна таємними розробками американців. Також опубліковані патчі та рекомендації на Гітхабі від FireEye. Ось тут. SolarWinds своєю чергою опублікував оновлення, яке по їх словам, закрило вразливість. Опублікував і… закрився, прийнявши обшуки ФБР. Федеральні агенції США просто вимкнули всі свої SolarWinds Orion. За збігом обставин чи ні, але 15 грудня лягали цілі сервіси Google та купа інших сервісів. Україна відреагувала попередженням РНБО і … ну, власне, все 🙂

Яку інформацію відкопав інтернет? Тут зрозуміло, що офіційне розслідування закінчиться не скоро. І навіть як закінчиться не зрозуміло яка частина результатів буде засекречена. Тобто, правду про ці події людство достеменно буде знати тільки через декілька поколінь. Але в сучасному світі варто привернути увагу користувачів, як багато чого випливає назовні.

Декілька фактів на подумати й посміятись:

Що робити?

А тепер до найцікавішого – що робити з Solarigate (SolarWinds Watergate)? А ніхто не знає 🙂 І це найстрашніше. Сьогодні зрозуміло одне – вирішення цієї ситуації немає. Є звісно очевидні шляхи захисту (буде зовсім трошки реклами):

  1. Вимкнути Orion, якщо він є
  2. Оновити його, а ще краще – мігрувати на аналог, скажімо на Motadata
  3. Примусово провести перевірку ПК і серверів, скажімо антивірусом BullGuard
  4. Перевірити чи поставити фаєрволи
  5. Провести сканування локальної мережі та вебсайтів на вразливості, скажімо Acunetix чи NetSparker
  6. Перенаправити доступи до критичних серверів через PAM, скажімо ARCON
  7. Поставити DLP, скажімо Endpoint Protector, щоб хакери не вкрали хоча б найціннішу інформацію

А взагалі, по-хорошому, варто скласти план та:

  • зробити бекапи даних (не знімки систем, а саме бекапи даних, щоб не резервувати зловмисний код)
  • знести сервіси, служби, системи
  • встановити системи заново
  • відновити дані з бекапу
  • повторно перевірити вже відновлену систему

А ось тут у нормальних адмінів очі полізли на лоба. І правильно, бо це повний капець. Такий капець, що уявити важко. А доведеться його вирішувати, не дарма експерти говорять що світ (тобто найкрупніші компанії та організації) зможуть закрити наслідки цієї операції не раніше ніж через пів року.

Тому вітаю вас! Завтра вже наступило, наступило воно таємно, приховано від очей, але повністю і невідворотно. Вітаю вас у новому кібер-світі, і нехай він поки виглядає трохи апокаліптично, для нас зараз головне швидко і кваліфіковано реагувати, щоб вижити у ньому.

Андрій Михалюк, CEO CoreWin