Útok na SolarWinds

Naši bezpečnostní experti zmapovali nedávný bezprecedentní útok na tisíce předních světových firem, organizací a vládních agentur. Kvůli bezmála devět měsíců trvajícímu útoku provedenému prostřednictvím cílené modifikace platformy SolarWinds Orion, získali útočníci volný přístup k nejcitlivějším datům v IT systémech obětí, včetně některých společností a institucí z České republiky.

V dnešní době poskytujeme kybernetické zabezpečení celé řadě tuzemských, ale i zahraničních zákazníků. Kauze rozsáhlého útoku se věnuje od 9. prosince 2020, kdy dostala první upozornění od kolegů z firmy FireEye. Den na to, ihned po prověření získaných dat, Aricoma varovala své klienty a začala jim kontinuálně dodávat relevantní informace a bezpečnostní doporučení.

V úterý 8. prosince 2020 měli v kalifornské centrále společnosti FireEye napilno. Specialisté na detekci závažných kybernetických útoků zjistili, že byla kompromitována jejich vlastní infrastruktura. A to velice sofistikovaným útokem.

Po horečnaté investigaci lidé z FireEye vystopovali zdroj potíží u významného dodavatele programů, které mají za úkol „hlídat zdraví“ všech klíčových IT zařízení zákazníka. Americká společnost SolarWinds patří k lídrům vývoje technického softwaru, který pomáhá monitorovat a spravovat sítě klientům po celém světě.

O pět dnů později 13. prosince 2020 SolarWinds oficiálně potvrdila, že jejich produkt Orion (NMS) byl napaden neznámým útočníkem. Tomu se podařilo vložit kód typu backdoor do legitimní knihovny SolarWinds, což mu následně umožnilo získat vzdálený přístup do prostředí infrastruktury všech zákazníků, kteří produkt SolarWinds Orion používají a pravidelně ho aktualizují.

Útočník zároveň získal přehled o sítích a koncových bodech veškerých napadených IT infrastruktur, díky čemuž si zajistil přístup k privilegovaným účtům svých obětí. Jedná se o desetitisíce napadených firem a organizací po celém světě, včetně agentury, která spravuje americké nukleární zbraně. Bezpečnostní složky ve Spojených státech dokonce v souvislosti s tímto útokem hovoří o kybernetickém Pearl Harboru.

Ve své analýze jsme pak nastínili konkrétní taktiky, techniky a postupy dle frameworku MITRE ATT&CK, které mohou zájemcům pomoci lépe pochopit bližší okolnosti zmíněného útoku, jeho dopady a možnosti obrany. Každý z odstavců uvádí referenční číslo použité techniky.

• Útok byl s největší pravděpodobností zahájen už v březnu 2020 v rámci jedné z běžných aktualizací produktu SolarWinds Orion. I přes veškeré dosud provedené obranné činnosti může být stále velice nebezpečný.
   
• Útok zasáhl desítky tisíc soukromých korporací, ale i vládních subjektů, často s klíčovými pravomocemi, po celém světě.
   
• Útok, vedený prostřednictvím softwaru dodavatelské firmy SolarWinds s názvem Orion a za pomoci souboru sofistikovaných technik, je odborníky považován za mimořádně komplexní.
   
• Útočníci provedli cílenou modifikaci softwarové platformy SolarWinds Orion a opatřili ji backdoorem, který společnost FireEye označuje jako SUNBURST, Microsoft pak jako SOLORIGATE.
   
• Takto upravená verze softwaru Orion byla distribuována prostřednictvím automatických aktualizací společnosti SolarWinds.
   
• Útočník využil celou řadu poměrně známých MITRE ATT&CK evasion techniques, konkrétně masquerading, code signing, obfuscated files or information, indicator removal on host nebo virtualization/sandbox evasion.
   
• Tito hackeři dále využili známých taktik pro splnění dílčích cílů, konkrétně jsou dosud známy Lateral Movement, Command and Control (C2) nebo Data Exfiltration.
   
• Mezi zasažené organizace patří například Microsoft, AT&T, Cisco, Intel, Mastercard, Visa, Ford, Gartner, Harvard, Nestle, Siemens, Swisscom, Yahoo, Federální rezervní systém (Fed), NASA, americká ministerstva obrany a spravedlnosti, celá řada letišť, nemocnic, tajné služby a mnoho dalších subjektů.
   
• Díky pečlivé přípravě akce a zvolené strategii distribuce malwaru, který má globální a hluboký infrastrukturní dosah, a s ohledem na více než trpělivou exekuci je útočník považován za CyberSecurity Top-class. Panují oprávněné domněnky, že se musí jednat o tzv. state-sponsored útočníka, tedy víceméně o útok státu.
   
• K dnešnímu dni se firmám jako Microsoft nebo Symantec podařilo provést některé důležité kroky k minimalizaci dopadu, jako je sinkhole zasažených domén (avsvmcloud[.]com; digitalcollege[.]org; freescanonline[.]com aj.), nasazení killswitch na zmíněných doménách nebo celková eliminace backdoorem zasažených souborů (SolarWinds.Orion.Core.BusinessLayer.dll) náležící k platformě Orion (remove, quarantine atd.).

Útok na společnosti a organizace prostřednictvím jednoho z produktů jejich dosud absolutně spolehlivého dodavatele IT služeb a rozsah tohoto útoku je pro oblast kybernetické bezpečnosti více než znepokojivou zprávou. Ukazuje se, že je třeba být proaktivní, že nelze spoléhat jen na automatické aktualizace, jakkoli je nutnost software opravovat a udržovat aktualizovaný nezbytná.

Incident potvrdil trend, který ukazuje, že je pro firmy a instituce stále nezbytnější mít včasný přístup k co nejpřesnějším informacím a doporučením od spolehlivého poskytovatele IT bezpečnostních služeb. Pokud takového dosud nenašly, rozhodně by neměly otálet s prověřením svých dodavatelů a partnerů a provedením monitoringu všech klíčových aktivit a instalací ve svých IT systémech. Ve světle všech výše uvedených odstavců je zcela neoddiskutovatelné, že každá firma, která měla co do činění s platformou Orion od SolarWinds, musí k problému přistupovat tak, že už byla napadena.