Ataki na FireEye i SolarWinds

Ataki na FireEye i SolarWinds – thriller niczym u Hitchcocka

Wielki mistrz thrilleru, nieodżałowany Alfred Hitchcock, powiedział kiedyś: „Film powinien zaczynać się od trzęsienia ziemi, potem zaś napięcie ma nieprzerwanie rosnąć”. Niewątpliwie ostatnie wydarzenia w świecie Cyber Security zdecydowanie wpisują się w ten trend.

Najpierw trzęsienie ziemi

FireEye to jedna z największych na świecie firm zajmujących się wykrywaniem i prewencją w zakresie cyber ataków. Dostarcza ona sprzęt, oprogramowanie i usługi służące do analizy takich ataków oraz obrony przed malware’m i innymi zagrożeniami związanymi ze światem IT. Specjaliści związani z tą firmą brali udział w śledztwach związanych z wyciekami w Sony czy JP Morgan. Jest to naprawdę duży gracz na rynku.

Środowiskiem cyber security wstrząsnęła więc informacja, która obiegła świat 8. grudnia. FireEye została shakowana – hakerzy wzięli na firmie swój odwet? FireEye na początku przyznał, że zaatakowały ich wysoce wyspecjalizowane jednostki powiązane prawdopodobnie z rządem Rosji. Najciekawsze było to, że zostały skradzione narzędzia do Red Teamingu – skrypty, oprogramowanie skanery podatności oraz wiedza na temat technik.

Co to w praktyce oznacza? Za pomocą tych narzędzi FireEye próbował (w dobrej wierze i w ramach testów) włamywać się do firm, aby potem zdawać raporty na temat odkrytych podatności. Teraz te narzędzia hakerzy mogą wykorzystać do swoich niecnych celów.

Potem napięcie rośnie…

Na początku nie było wiadomo w jaki sposób do tego doszło. Jednak 13. Grudnia FireEye wydał komunikat , w którym ujawnił, że atak nastąpił za pomocą aplikacji SolarWinds Orion, która posiadała w sobie zaimplementowanego trojana. SolarWinds to potężna firma produkująca oprogramowanie służące do zarządzania IT, a Orion to jeden z jej kluczowych produktów.

FireEye ujawnił, że bibliotece SolarWinds.Orion.Core.BusinessLayer.dll, która była cyfrowo podpisana, znajdował się kod zawierający backdoora, który za pomocą protokołu HTTP kontaktował się z serwerami C2. Całość była niezwykle dobrze przemyślana. Sam trojan zanim zaczął działać był uśpiony przez dwa tygodnie. Potem na podstawie geolokoalizacji, aby nie wywoływać podejrzeń, komunikował się z serwerami C2 z danego kraju. Używano do tego serwerów VPS.

Update’y do Oriona posiadające zaimplementowanego trojana pojawiały się na stronie SolarWinds od marca do maja 2020.

zainfekowana biblioteka podpisana przez SolarWinds
Zainfekowana biblioteka podpisana przez SolarWinds

…i dalej rośnie

Dlaczego jednak sytuacja jest taka poważna? Okazuje się, że na liście klientów SolarWinds znajduje się większość firm z listy Fortune500, dziesięć największych telekomunikacyjnych dostawców amerykańskich oraz wojsko USA, Departament Stanu, NSA czy urząd prezydenta USA. Szacuje się, że około 18 tys. klientów zainstalowało shakowaną aplikację. Przykładowo e-maile pracowników NTIA ( National Telecommunications and Information Administration – agencja blisko współpracująca z prezydentem USA) były monitorowane przez hakerów przez miesiące. Mówimy się o ogromnym zagrożeniu dla bezpieczeństwa nie tylko USA, ale i też ich sojuszników. Sprawą zajęły się więc FBI czy NSA.

Akcję przypisuje się grupie APT29, znanej też jako „Cozy Bear”. Ci powiązani z rosyjskim rządem hakerzy stali za atakiem na Departament Stanu i Biały Dom za prezydentury Obamy w 2014 i 2015 roku. Volexity dokonało jednak analizy z której wynika, że atakującym mogła być grupa Dark Halo. Dark Halo stało za podobnymi włamaniami na przełomie roku 2019 i 2020. Co ciekawe badaczom udało się odkryć, że grupa ta dokonywała ataków za pomocą skutecznie ominiętego multi-factor authentication w OWA.

Co dalej?

SolarWinds pracuje już z Microsoftem w sprawie załatania swoich dziur i zidentyfikowania wektora ataku. W międzyczasie wypuszczono hotfixy do aplikacji Orion, a gigant z Redmond opublikował z kolei na swoim blogu wskazówki dla swoich klientów z czym się mierzą, oraz jak się bronić. Volexity dokonało analizy przedstawiającej techniki, którymi posługiwało się Dark Halo.

Schemat ataku z użyciem zainfekowanej biblioteki
Schemat ataku z użyciem zainfekowanej biblioteki

Dziury można więc załatać i próbować wykryć u siebie intruza. Nie ulega jednak wątpliwości, że hakerzy eksfiltrowali już ogromne ilości danych i tego nie da się cofnąć. Mieli w tej sytuacji wolną rękę przez kilka miesięcy.

Hitchcock mógłby się więc czuć zagrożony. Okazało się bowiem, że życie przerosło film.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.