SolarWinds

Последен ъпдейт на 11 май 2021 в 04:29 ч.

Руската външна разузнавателна служба SVR, известна още сред изследователите по киберсигурност като APT29, Cozy Bear и The Dukes, продължава да атакува правителства, организации и доставчици на енергия по целия свят. Хакерската група се възползва от нови техники, включително експлоатация на zero-day уязвимости, като тези на Microsoft Exchange.

Предупреждението идва едновременно от Агенцията за сигурност на инфраструктурата за киберсигурност (CISA), Федералното бюро за разследвания (ФБР) и Националната агенция за сигурност (NSA) на САЩ, както и от Националния център за киберсигурност на Обединеното кралство. Службите приписват на SVR атаката SolarWinds и няколко кампании, насочени към разработчиците на ваксини срещу Covid-19.

Сред експлоатираните уязвимости (всички те имат налични пачове) се включват:

• CVE-2018-13379 FortiGate
• CVE-2019-1653 Cisco router
• CVE-2019-2725 Oracle WebLogic Server
• CVE-2019-9670 Zimbra
• CVE-2019-11510 Pulse Secure
• CVE-2019-19781 Citrix
• CVE-2019-7609 Kibana
• CVE-2020-4006 VMWare
• CVE-2020-5902 F5 Big-IP
• CVE-2020-14882 Oracle WebLogic
• CVE-2021-21972 VMWare vSphere

Нападателите се насочват също и към пощенски сървъри, чрез които придобиват администраторски права и по-нататъшна мрежова информация и достъп.

Препоръки:

• Проверете дали сте приложили всички налични корекции и ако това не е така, направете го незабавно
• Използвайте многофакторно удостоверяване, за да защитите мрежата си от атака в случай на компрометирани пароли

Изследователите на PRODAFT (швейцарска компания за киберсигурност) твърдят, че са успели да проникнат в компютърната инфраструктура на хакерите, стоящи зад най-голямата кибератака до момента.

SilverFish (така е наречена групата) са управлявали сървъри в Русия и Украйна, някои от тях – споделени с известната руска престъпна хакерска група Evil Corp. Засечени са писмени коментари на руски жаргон и на английски език.

Изследователите са разкрили уеб панел, в който хакерите тестват дали злонамерената им дейност се маркира от антивирусните решения на жертвите.

Според PRODAFT, SilverFish са използвали и други методи за атака, освен уязвимостта в софтуера на SolarWinds. Кампанията на хакерите продължава и през 2021 г.

Като целеви регион на действие на групата се посочва САЩ и някои европейски страни (Италия, Холандия, Дания, Австрия, Франция и Великобритания).

Двете големи кибератаки от последните месеци, насочени към сървърите на Microsoft Exchange и софтуера за сигурност SolarWinds, потенциално компрометираха хиляди държавни и частни компютърни мрежи.

Затова  Белият дом обединява усилия с частния сектор за увеличаване на киберзащитата в държавата.

За първи път компании от частния сектор са поканени да участват в ключови срещи за националната сигурност с цел да подпомогнат намирането на адекватни решения.

Нуждата от прилагане на спешни мерки се налага и от появата на нов щам на рансъмуер, който използва недостатък в сигурността на сървърите на Microsoft Exchange.

Американската фирма за киберсигурност Malwarebytes заяви, че е била хакната от същата група, която в края на 2020 г. компрометира компанията за ИТ софтуер SolarWinds.

Изглежда, че инцидентът не е свързан със supply chain атаката срещу американското правителство, тъй като Malwarebytes не използва софтуер на SolarWinds във вътрешната си мрежа.

Пробивът е станал през неактивно приложение за защита на имейли в Office 365. Точно Microsoft Security Response Center (MSRC) е предупредил Malwarebytes за наличието на подозрителна активност.

Microsoft, който наскоро обяви, че хакерите на SolarWinds са имали достъп до техния сорс код, е извършил проверка на инфраструктурите на Office 365 и Azure за признаци на злонамерени приложения, създадени от хакерите SolarWinds (известни още като UNC2452 или Dark Halo. Така се е стигнало до разкриване на инцидента при Malwarebytes.

От фирмата за киберсигурност заявяват, че нападателят е получил достъп само до част от имейлите на вътрешни компании, който своевременно е бил ограничен.

Malwarebytes е четвъртата поредна киберкомпания, засегната от хакерите на SolarWinds. Досега за пробиви съобщиха FireEye, Microsoft и CrowdStrike.

Уебсайт, на име SolarLeaks, предлага за продажба гигабайти файлове, за които се твърди, че са получени в резултат от наскоро разкритото компрометиране на SolarWinds.

Експлоатирането на уязвимости в широкоизползвания софтуер за мониторинг на ИТ инфраструктура Orion (на компанията SolarWinds) засегна множество държавни и частни организации по целия свят, сред тях и немалко американски правителствени агенции.

SolarLeaks твърди, че разполага с изходен код (source code) и друга документация на Microsoft, Cisco, SolarWinds и FireEye. Файловете на четирите компании се предлагат на „пакетна“ цена от 1 млн. USD, но могат да бъдат закупени и поотделно.

Възможно е да става дума за измама. Факт е обаче, че цитираните компании вече потвърдиха, че системите им са засегнати от пробива, а Microsoft дори оповести, че хакерите на Solar Winds са имали достъп до изходния код на компанията.

 

 

Последен ъпдейт на 16 януари 2021 в 03:53 ч.

Експлоатирането на уязвимости срещу платформата на SolarWinds – Orion, използванo в компрометирането на американското правителство, продължава да разширява мащаба си. Поредното развитие по казуса е открито от компанията за киберсигурност CrowdStrike – става въпрос за уязвимост, озаглавена Sunspot.

Благодарение на нея, хакерите могат да инжектират backdoor в платформата Orion на SolarWinds. Този зловреден код наблюдава изпълняваните системни процеси и замества един от изходните файлове със друг зловреден софтуер – SUNBURST. Част от функционалността на Sunspot е включването на защити, които да попречат присъствието му да бъде разкрито и да гарантират успеха на „мисията“ му.

Към момента общият брой на известните жертви на уязвимостите в Orion вече е над 18 хил. Сред тях са редица американски правителствени агенции.

“Щамът” на Sunspot не е непознат на разследващите supply chain атаката. До момента той е наричан по-различен начин от различните киберизследователи – StellarParticle (от CrowdStrike), UNC2452 (от FireEye) и Dark Halo (от Volexity).

Sunspot е поредният злонамерен софтуер, свързан с най-големия киберпробив от години. До момента станаха известни:

• Sunburst, инсталирал троянски кон в платформата Орион по време на автоматична актуализация
• Teardrop, използван за инсталиране на софтуерно устройство за навигация (Cobalt Strike beacon)
• SuperNova, внедрен като DLL файл, който позволява на атакуващите да изпращат, компилират и изпълняват C# код от разстояние

Самоличността на хакерите на SolarWinds все още не е разкрита. Въпреки това Kaspersky направи връзка с известна по-рано група за кибершпионаж. Установи, че задната врата на Sunburst има припокривания на функции с Kazuar.NET backdoor, обвързан условно с руската хакерска група Turla.

Разбира се, възможно е нападателите да са били „вдъхновени“ от кода на Kazuar или и двете групи да са получили своя зловреден софтуер от един и същ източник или пък кодът да е използван в атаката специално, за да обвини Turla и да замеси Москва…

Междувременно, ФБР също разследва предполагаема руска следа в атаката срещу американското правителство.

Хакерската група, стояща зад атаката на SolarWinds, е успяла да направи пробив и да осъществи достъп до част от изходния код (source code) на Microsoft, това потвърди самата компания.

Microsoft вече разкри, че подобно на много други частни фирми и държавни организации, е открила злонамерени версии на софтуера на SolarWinds в своята мрежа.

Source Code – основната архитектура и набор от инструкции, които дефинират работата на даден софтуер или операционна система – обикновено е сред най-строго пазените тайни на всяка технологична компания.

Модифицирането на изходния код – което Microsoft заяви, че хакерите не са направили – може да има потенциално пагубни последици, предвид широкото разпространение на продуктите на Microsoft (MS Office и Windows OS. Дори само фактът, че хакерите са имали възможност да прегледат кода, им дава предимство при последващо атакуване на продукти или услуги на Microsoft.

SolarWinds публикува актуализирани насоки за противодействие на злонамерения софтуер SuperNova. Установено е, че той е бил разпространен чрез платформата за управление на мрежата (Network Management System – NMS) на компанията – Orion.

Друг малуер (SUNBURST), инжектиран в същата платформа, даде възможност на хакери да проникнат в мрежите на редица държавни и частни организации по целия свят и да причинят най-мащабния хак за всички времена.

Специалистите смятат, че SuperNova не е свързан с групата, разпространила SUNBURST.

SolarWinds съветва всички клиенти на платформата Orion да я ъпдейтват до най-новите версии, за да бъдат защитени от откритите злонамерени кодове.

Актуализациите за платформата Orion, включват следните версии и корекции:

2019.4 HF 6 (пуснат на 14 декември 2020 г.)

2020.2.1 HF 2 (пуснат на 15 декември 2020 г.)

2019.2 SUPERNOVA Patch (пуснат на 23 декември 2020 г.)

2018.4 SUPERNOVA Patch (пуснат на 23 декември 2020 г.)

2018.2 SUPERNOVA Patch (пуснат на 23 декември 2020 г.)

Топ-новината в областта на киберсигурността е мащабният пробив в мрежата на Министерство на финансите на САЩ. FireEye вече публикува подробности относно инцидента със supply-chain атаката към SolarWinds.

В последните дни попаднахме на друго интересно проучване – на пионера в разследването на инциденти с оперативната памет, Volexity. Компанията  добавя  детайли и индикатори, свързани с компрометирането на сигурността, което засяга и клиентите на софтуерната платформа Orion на SolarWinds.

Още от 2019 до средата на 2020 г. Volexity успява да засече компрометирани сървъри, атаките към които носят почерка на същата група (UNC2452), която FireEye свързва с атаката към SolarWinds. Тъй като по това време подробности относно групата не са били известни, Volexity я наричат Dark Halo.

Общото между действията на Dark Halo и атаката към Orion на SolarWinds

Най-голямото доказателство за връзка, Volexity намира в домейните за C2 комуникация на зловредния софтуер, описани в доклада на FireEye:

• appsync-api.us-west-2.avsvmcloud[.]com
• freescanonline[.]com
• lcomputers[.]com
• webcodez[.]com

В първите подобни инциденти, разследвани от Volexity, са били открити множество инструменти, задни врати (Backdoor) и инжектирани зловредни кодове, които не са били използвани постоянно, а само при нужда – за ексфилтриране на точно определена информация.

Според доклада на Volexity, три големи инцидента се свързват с групата Dark Halo. Ние избрахме да се спрем на втория от тях, тъй като той дава най-ясна представа за една от техниките, използвана при ексфилтрирането.

Какво е Duo

Duo е дъщерна компания на гиганта Cisco, която предоставя лесен начин за интегриране на многофакторна автентикация (MFA) при достъп до приложенията на различни доставчици. В това число О365, ERP системи, VPN и т.н. Сред най-големите клиенти на Duo са US Department of Defense, US Department of Homeland Security, SalesForce, NIST и т.н.

Как се заобикаля Duo MFA

В разследван инцидент, свързан с Dark Halo, Volexity са наблюдавали как групата осъществява достъп до имейл акаунта на потребител, чрез OWA, при положение, че целевата пощенска кутия е била  защитена с MFA. Логовете от Exchange сървъра показват, че нападателите предоставят потребителско име и парола, като не им е изискано допълнително удостоверяване чрез Duo. В същото време, логовете от сървъра за удостоверяване на Duo не показват да са правени опити за влизане във въпросния акаунт. Volexity успява да потвърди, че не е имало прихващане на сесия и/или дъмп на паметта на OWA сървъра, а че нападателите са използвали бисквитка (cookie), свързана с Duo MFA сесията, наречена duo-sid.

Разследването на Volexity установява, че нападателите са имали достъп до секретния ключ за интегриране на Duo (skey) от OWA сървъра. Този ключ им е позволил да генерират предварително изчислена стойност, която да бъде зададена в бисквитката duo-sid. След успешно удостоверяване с парола, сървърът е оценил бисквитката duo-sid, като валидна. Така нападателите, разполагайки с потребителско име и парола са успели да заобиколят напълно MFA.

Важно е да се отбележи, че това не е уязвимост при доставчика на MFA: необходимо е всички пароли, свързани с ключовете за интеграции, като тези с доставчика на MFA, да бъдат променени след подобен инцидент. При това е особено важно паролите да бъдат сменени с такива, които по нищо не наподобяват старите (Пример: Да промените Sofia2020 на Plovdiv2020 не е добро решение!).

Става дума за продължително организирана атака

Друга интересна подробност, e че още през юли 2020 г. Volexity  са идентифицирали подозрителни административни команди и ActiveSync аномалии в Exchange инфраструктурата на клиента, чийто инцидент са разследвали. След обстойно проучване е било потвърдено, че има пробив в мрежата и крайните станции, като атакуващите са използвали команди, свързани с експортирането на мейли и ексфилтрирането им през Outlook (OWA). Много от детайлите описани тогава, се припокриват с доклада на FireEye, включително и такива, свързани с евентуална инфекция на SolarWinds машината на клиента.

За съжаление Volexity не са успели да опишат в детайли компрометирането на  SolarWinds и да предоставят нужните доказателства на разработчика. Съответно не е имало възможност за по-нататъшно разследване и разкриване на проблема със supply-chain атаката по-рано.

През последните дни ви предоставяме различни анализи и гледни точки за това как се е стигнало до хака на американската администрация. Основната ни цел е да насочим вниманието на отговорниците по сигурността (CSO и др.) към различните пробойни и недостатъци и да не подценяват дребните пропуски. Защото хакерите търсят най-слабото ви звено.

Последен ъпдейт на 16 декември 2020 в 01:48 ч.

За тези, които не знаят за какво служи платформата Orion на SolarWinds – това е система за управление на мрежата (NMS – Network Management System).

SolarWinds е един от най-използваните и широкоразпространени брандове NMS в световен мащаб. Използва се в средни и големи частни организации, правителствени агенции, военни и други стратегически формирования с национално значение.

NMS обикновено служи за наблюдение на мрежови устройства и критични сървъри. Ако някога сте виждали мрежова карта, на която устройствата са показани в зелено/жълто/червено, то тя вероятно е създадена от NMS.

Как NMS генерира картата

Понякога това е проста задача – колкото командата за проверка на наличността на дадена система в мрежата (ping).  По-често обаче NMS използва SNMP (протокол за наблюдение и управление на мрежата) или инсталиран върху машината агент, за да научи или промени състоянието на отдалечените устройства. В допълнение към това, тези управляващи мрежата системи могат да променят конфигурацията, да рестартират услуги и т.н. Разбира се, не всички NMS са в състояние или имат права да правят промени или поне – не за всички системи в инфраструктурата.

Защо NMS са отлични цели за атакуващия и защо евентуален хак е труден за откриване

Както споменахме по-горе, NMS имат достъп до повечето (може и до всички) системи в мрежата, така че изходящите IP ACL (правилата за контрол на мрежовия трафик) не са полезен контрол. Netflow (протоколът, следящ за активността в мрежовия трафик) обикновено също не помага, тъй като NMS не само има достъп до всичко, но и говори много – тя се нуждае от разнообразна информация относно мрежата, която управлява, за да е максимално полезна.

Може би добра новина е, че NMS рядко има достъп до всички системи. Лоша новина е, че до най-критичните системи, най-вероятно достъпът е с най-високи привилегии и са позволени, както промяна в конфигурации, така и рестартиране на сървиси, цели машини или достъп до чувствителна информация, касаеща работата на системата. Това, разбира се, не е провал в моделирането на сигурността, защото същността на работа на тези системи предполага подобен тип взаимодействие с машините в мрежата. Нека си припомним, че сигурността включва и наличност (CIA – Confendentiality, Integrtity, Availability). В този ред на мисли, колкото по-критична е системата, толкова по-вероятно е да искате да осигурите нейната наличност. NMS я осигурява, като следи за услуги, които не реагират и ги рестартира автоматично, като част от зададен автоматизиран процес, а в повечето случаи – дори и без администраторът да разбере.

Друга лоша новина е, че дори и само в режим на монитор, NMS все още може да се използва за четене на конфигурации, които често включват достатъчно информация, за да могат хакерите да преминат от една система в друга (lateral movement). По-този начин хакерът може незабелязано да прескача от система към система, деактивирайки средствата им за защита и преодолявайки механизмите за наблюдение.

Сега вече всички се досещате, защо компрометирането на SolarWinds NMS е апетитна хапка и защо хакерите са се насочили точно към тази система:

1. Широкото й разпространение предоставя възможност за достъп до голям брой системи в таргетирани организации, вкл. такива от национално значение
2. Критичността и нивата на достъп на системата на практика осигуряват ключа за цялото „кралство”. Това е все едно да имате потребител „enterprise domain super administrator plus”

Какво трябва да направите ако имате инсталиран SolarWinds NMS

1. Не изпадайте в паника и не го изтегляйте офлайн
2. Следете “изкъсо” препоръките на производителя и приложете всички налични и бъдещи ъпдейти, които се публикуват
3. Помислете и за наблюдение и предупреждение при всеки опит за достъп до администраторския интерфейс
4. Независимо коя NMS използвате, препоръчваме да заключите достъпа до администраторските интерфейси, като използвате списъци за контрол на достъпа

Откриването на аномалии в трафика няма да е лесно, но в следващите няколко дни и седмици ще се появят IOCs (indicators of compromise), които ще подпомогнат системите за наблюдение.

В повечето организации NMS се конфигурира от администраторите, чиято единствена цел е осигуряване на наличност. Работете заедно с екипите по сигурност и моделирайте системите също и от гледна точка на поверителност.

В заключение само ще кажем, че NMS са “необходимото зло”. Без тях конфигурирането, управлението и наблюдението на множество системи би довело до доста по-силен “слънчев вятър” (solar wind), който би „довял“ съпътстващи проблеми. Или иначе казано – не изхвърляйте бебето, заедно с водата за къпане! Обърнете сериозно внимание на моделирането на сигурността в организацията си, за да минимизирате риска и щетите при евентуален инцидент. Ако срещате трудности – допитайте се до специалисти с опит и познания по темата.