Czy to możliwe, aby bez niczyjej wiedzy, i to przez kilka tygodni, infiltrować agencje rządowe USA? Ile minęło czasu od pierwszego ataku na SolarWinds zanim publicznie potwierdzono włamanie z 13 grudnia 2020? Co powinny zrobić przedsiębiorstwa, które używały oprogramowania SolarWinds? Eksperci na żadne pytanie nie mają dobrych wieści. Zidentyfikowanie wszystkich celów i analiza scenariusza ataku może zająć całe miesiące, a nawet lata.
Atak na serwer uwierzytelniania aktualizacji SolarWinds
Supply chain z angielskiego oznacza łańcuch dostaw. Supply- chain attack to skomplikowany technicznie do przeprowadzenia atak, ale warty poświęconych zasobów.
W poprzednich latach w Europie doszło do podobnego cyberataku na infrastrukturę dużej firmy na Ukrainie, która dostarczała rozwiązanie IT do setek tysięcy, jak nie milionów klientów końcowych. Pisaliśmy wówczas o zagrożeniu NotPetya. W ataku najbardziej ucierpiały instytucje rosyjskie i ukraińskie: Rada Ministrów Ukrainy i Ukraiński Bank Narodowy, rosyjski bank centralny, a nawet monitoring promieniowania nieczynnej elektrowni atomowej w Czarnobylu.
Hakerzy zastosowali w USA tę samą technikę. Atakując jednego, dużego gracza, weszli do systemów innych firm, a nawet agencji rządowych Stanów Zjednoczonych. Czy podejrzewali, że na liście klientów SolarWinds, znajduje się administracja Donalda Trumpa? Nawet jeśli tak, to czy byli zaskoczeniu rozmiarem eskalacji ataku?
Nie wiadomo w jakim konkretnie dniu hakerom udało się przejąć kontrolę nad serwerem podpisującym pliki aktualizacyjne systemu Orion (wchodzi w skład całego oprogramowania SolarWinds do zarządzania infrastrukturą). Administratorzy Oriona, którzy korzystali z automatycznych aktualizacji, nieświadomie wpuścili do sieci backdoora, otwierając swoją firmę na działania hakerów. Istnieje też teoria, która mówi, że supply-chain attack nie byłby możliwy do przeprowadzenia, gdyby nie podatność w oprogramowaniu VMware Access i VMware Identity Manager.
Stało się to, co się stało. Hakerzy po pomyślnym zainstalowaniu się w systemach, mieli do nich łatwy dostęp. Decydowali wówczas, czy dana organizacja jest dla nich interesująca lub czy nie podejmować prób atak, aby nie narażać operacji na wykrycie.
Check Point o ataku supply-chain
Z naszej perspektywy, po latach prowadzenia badań nad cyberzagrożeniami, uważamy, że jest to jeden z najbardziej wyrafinowanych i poważnych ataków.
— czytamy na blogu firmy Check Point.
Potwierdzenia stanowiska Check Point należy szukać w złożoności ataku, dużej cierpliwości hakerów, precyzyjnym wybieraniu ofiar oraz wysokiej świadomości operacyjnej.
Firma SolarWinds dostarcza swoje oprogramowanie do 300000 klientów na całym świecie. Z ich rozwiązań korzystają przedsiębiorstwa i rządy, które znajdują się na liście 500 najbogatszych. Szacuje się, że cyberatak na serwery SolarWinds doprowadził do zainfekowania 18000 organizacji z całego świata. Nie wiadomo, które cele dla hakerów były najważniejsze, a które oberwały „niechcący”.
Zespoły bezpieczeństwa, administratorzy IT oraz samodzielni badacze, mogą szukać potencjalnych identyfikatorów infekcji w tych oraz tych materiałach.
