supply chain attack

  • Как се прокарва уязвимост в PHP: или неуспешен (засега) опит за supply chain атака

    Опит за директно инжектиране на зловреден код в сорса на PHP е бил засечен и неутрализиран навреме от разработчици.

    Тактиката е интересна: хакерите са се опитали да прокарат промени в сорса в официалното Git репо на PHP – git.php.net под формата на мними корекции на тайпота. Те са били пушнати в хранилището php-src така, че да изглеждат подписани от  двамата основни създатели и разработчици на PHP – Попов и Лердорф.

    Целта: зловредните кодове са използвани за backdoor – задна вратичка в приложенията, написани на езика, която позволява отдалечен достъп.

    PHP е един от основните езици, които все още се използват масово в интернет. На него е написана WordPress – най-големият онлайн CMS, използван в около 30% от сайтовете онлайн. Езикът е с отворен код, което означава, че всеки може да допринесе за неговото развитие. Подобно на WordPress, той има голяма потребителска база, което означава, че успешното му компрометиране би засегнало широк кръг системи (supply chain атака).

    Инцидентът е дал повод на екипа по поддръжката на PHP да го премести за постоянно в GitHub, за да повиши сигурността на проекта.

    Разработчиците, които досега са имали достъп до хранилищата, трябва да се присъединят към групата PHP на GitHub.

  • Нов малуер е открит при разследването на атаката на SolarWinds

    Последен ъпдейт на 16 януари 2021 в 03:53 ч.

    Експлоатирането на уязвимости срещу платформата на SolarWinds – Orion, използванo в компрометирането на американското правителство, продължава да разширява мащаба си. Поредното развитие по казуса е открито от компанията за киберсигурност CrowdStrike – става въпрос за уязвимост, озаглавена Sunspot.

    Благодарение на нея, хакерите могат да инжектират backdoor в платформата Orion на SolarWinds. Този зловреден код наблюдава изпълняваните системни процеси и замества един от изходните файлове със друг зловреден софтуер – SUNBURST. Част от функционалността на Sunspot е включването на защити, които да попречат присъствието му да бъде разкрито и да гарантират успеха на „мисията“ му.

    Към момента общият брой на известните жертви на уязвимостите в Orion вече е над 18 хил. Сред тях са редица американски правителствени агенции.

    “Щамът” на Sunspot не е непознат на разследващите supply chain атаката. До момента той е наричан по-различен начин от различните киберизследователи – StellarParticle (от CrowdStrike), UNC2452 (от FireEye) и Dark Halo (от Volexity).

    Sunspot е поредният злонамерен софтуер, свързан с най-големия киберпробив от години. До момента станаха известни:

    • Sunburst, инсталирал троянски кон в платформата Орион по време на автоматична актуализация
    • Teardrop, използван за инсталиране на софтуерно устройство за навигация (Cobalt Strike beacon)
    • SuperNova, внедрен като DLL файл, който позволява на атакуващите да изпращат, компилират и изпълняват C# код от разстояние
    Източник: SolarWinds
    Източник: SolarWinds

    Самоличността на хакерите на SolarWinds все още не е разкрита. Въпреки това Kaspersky направи връзка с известна по-рано група за кибершпионаж. Установи, че задната врата на Sunburst има припокривания на функции с Kazuar.NET backdoor, обвързан условно с руската хакерска група Turla.

    Разбира се, възможно е нападателите да са били „вдъхновени“ от кода на Kazuar или и двете групи да са получили своя зловреден софтуер от един и същ източник или пък кодът да е използван в атаката специално, за да обвини Turla и да замеси Москва…

    Междувременно, ФБР също разследва предполагаема руска следа в атаката срещу американското правителство.

  • Разкрита е поредната таргетирана supply-chain атака с общодържавен обхват

    През декември 2020 г. ESET разкри нова supply chain атака, насочена към правителствения орган на Виетнам, който издава цифрови сертификати за електронно подписване на официални документи (Vietnam Government Certification Authority – VGCA). Тази атака е компрометирала държавния инструментариум за цифров подпис, инсталирайки по този начин задна врата (backdoor) в системите на всички, които го използват.

    Всеки виетнамски гражданин, частна компания или държавна организация, която иска да обменя файлове с виетнамското правителство, трябва да ги подпише с VGCA-съвместим цифров сертификат.

    VGCA не само издава тези цифрови сертификати, но също така предоставя готови и лесни за ползване „клиентски приложения“, които да бъдат инсталирани локално и да автоматизират процеса по подписване на документите.

    Детайлният доклад на ESET, наречен „Operation SignSight„, гласи, че злонамерени лица са пробили уебсайта на правителствения орган (ca.gov.vn) и са инсталирали малуер в две от клиентските приложения, налични за сваляне. Те са пригодени за 32-битови (gca01-client-v2-x32-8.3.msi) и 64-битови (gca01-client-v2-x64-8.3.msi ) Windows ОС.

    „Компрометирането на уебсайта на сертифициращия орган е добра възможност за APT групите, тъй като посетителите вероятно имат високо ниво на доверие в държавната организация, отговорна за цифровите подписи“, споделя Матиу Фау от ESET.

    Screenshot от компрометирания сайт ca.gov.vn
    Screenshot от компрометирания сайт ca.gov.vn

    Телеметрията на ESET показва, че в периода 23 юли – 5 август 2020 г. двата файла, отбелязани по-горе, са били заразени с троянски кон наречен PhantomNet, по-известен като Smanager.

    Злонамереният софтуер не е сложен, но служи като основа за надграждане с по-мощни плъгини. Например такива, които включват в себе си функционалност за извличане на прокси настройки за заобикаляне на  корпоративните защитни стени и възможност за изтегляне и стартиране на други (злонамерени) приложения.

    Опростена схема на supply chain атака
    Опростена схема на supply chain атака

    Според специалистите от ESET, този backdoor е използван за разузнаване на конкретни мишени, с цел осъществяване на последваща по-сложна атака.

    В деня, в който ESET публикува своя доклад, VGCA също официално призна за пробив в сигурността и публикува учебен материал за това как потребителите могат да премахнат зловредния софтуер от своите системи.

    Жертви на PHANTOMNET са открити и във Филипините

    Жертви, заразени с PhantomNet, са засечени и във Филипините, но при тях по-вероятно е използван друг механизъм за инсталация на зловредният софтуер.

    ESETне приписва официално атаката на никоя конкретна група, но предишни доклади свързват зловредния софтуер PhatomNet (Smanager) с държавно спонсориран кибершпионаж от страна на Китай.

    Инцидентът с VGCA бележи петата голяма supply-chain атака през 2020 година след:

    • SolarWinds – Руски хакери компрометираха механизма за актуализация на приложението SolarWinds Orion и заразиха вътрешните мрежи на хиляди компании по цял свят със злонамерен софтуер Sunburst
    • Able Desktop – Китайски хакери компрометираха механизма за актуализация на чат приложението , използвано от стотици монголски правителствени агенции
    • GoldenSpy – Китайска банка принуждаваше чуждестранни компании, опериращи в Китай, да инсталират инструментариум за данъчен софтуер с налична задна врата (backdoor)
    • Wizvera VeraPort – Севернокорейски хакери компрометираха системата Wizvera VeraPort, за да доставят злонамерен софтуер на южнокорейските потребители

    С този материал искаме да насочим вниманието ви към потенциалния обхват на една supply chain атака, тъй като тя не е ограничена териториално.

    Доста отговорни правителства създават т.нар  bounty-програми, в които етични хакери помагат за подобряване на защитата на държавно ниво – препоръчваме и на българското правителство да го направи.

Back to top button