Gati dy muaj pasi u shfaqën lajmet në lidhje se update e software nga SolarWinds po përdoren për të shpërndarë një Backdoor Trojan të quajtur Sunburst / Solorigate në rreth 18,000 organizata në mbarë botën, mbeten pyetje shqetësuese rreth scope dhe impaktit.
Vektori fillestar i hyrjes në SolarWinds mbetet i paqartë
Sulmuesit mund të kishin akses në mjedisin e zhvillimit të softuerit të kompanisë dhe futnin kod të dëmshëm në build për versionet 2019.4 HF 5, 2020.2 unpatched dhe 2020.2 HF 1 të platformës së menaxhimit të rrjetit Orion të kompanisë. (Lista e të gjitha produkteve të prekura është këtu).
Mënyra në të cilën aktorët e kërcënimit fituan hyrjen fillestare në sistemin e SolarWinds mbetet e paqartë. Një azhornim i SolarWinds më 3 shkurt e përshkroi kompaninë ende “duke eksploruar disa teori të mundshme” rreth mënyrës se si hynë aktorët e kërcënimit ne sistem. Sipas SolarWinds, provat aktuale sugjerojnë se vektori më i mundshëm i sulmit ishte përmes një kompromisi kredencial dhe / ose hyrjes përmes zero-day vulnerability in a third-party app të pales së tretë.
SolarWinds gjithashtu ka konfirmuar se një llogari e-mail që i përket një prej punonjësve të saj ishte komprometuar dhe përdorur për të “hyrë në mënyrë programatike” . Sulmuesit përdorën kredencialet për të arritur përfundimisht në mjedisin e zhvillimit të Orionit të SolarWinds. Kompania thotë se të dhënat e saj tregojnë se sulmuesit ishin në rrjetin e saj për një periudhë të panjohur kohe para se të fillonin të kryenin prova të injektimit të malware në sistemin e ndërtimit të SolarWinds në tetor 2019.
Kundërshtarët përdorën më shumë se një vektor sulmi
Për pjesën më të madhe, SolarWinds ka qenë në qendër të vëmendjes që kur u përhap lajmi se update i software u perdor per te shperndare Sunburst backdoor në të gjithë botën. Realiteti, është se softueri ishte vetëm një nga vektorët e sulmit që kundërshtarët përdorën për të dhënë ngarkesën e tyre.
Malwarebytes është një shembull. Në janar, the security vendor disclosed se i njëjti grup APT prapa sulmit SolarWinds kishte fituar akses në një numër të kufizuar të postave elektronike të kompanisë së saj. Sidoqoftë, në këtë rast kompromisi nuk rezultoi nga një update i SolarWinds Orion. Përkundrazi, sulmuesit shfrytëzuan “një produkt për mbrjtjen e postës elektronike” me qasje të privilegjuar brenda mjedisit të kompanisë Office 365 për të fituar akses në postat elektronike.
Sipas CISA, ka të ngjarë që grupi i kërcënimit ka përdorur edhe vektorë të tjerë që nuk janë zbuluar ende.
Malware Malley përdoret në sulm
Aktorët e kërcënimit prapa fushatës SolarWinds përdorën një larmi mjetesh malware si pjesë e zinxhirit sulmues.
Këtu janë ato kryesore:
Sunspot: Malware i përdorur per te futur Sunburst/Solorigate backdoor në buid e produktit të menaxhimit të rrjetit Orion të SolarWind.
Sunburst / Solorigate: Dynamic Link Library (DLL) (DLL) që u shpërnda në mijëra organizata si pjesë e update legjitime të softuerit të menaxhimit të rrjetit Orion të SolarWinds midis Marsit dhe Qershorit 2020.
Teardrop: Sulmuesit përdorën Teardrop për deploy Cobalt Strike kit në mjedise me interes për ta.
Raindrop: Ndryshe nga Teardrop, ai nuk u be deploy nepermjet Sunburst backdoor. Sipas Symantec, malware ishte vërejtur në rrjete ku të paktën një kompjuter ishte komprometuar më parë nga Sunburst.
Studiuesit e sigurisë zbuluan një tjetër backdoor shumë të sofistikuar të quajtur “Supernova” në platformën Orion të SolarWinds ndërsa po hetonin shkeljen e zbuluar së fundmi. Backdoor, në formën e një skedari DLL, u dha sulmuesve një mënyrë për të kryer një gamë të gjerë aktivitetesh , por ishte krijuar për të qëndruar plotësisht i fshehur derisa të aktivizohet.
Lista e Viktimave
Numri aktual i organizatave që ishin në shënjestër posaçërisht për sulm mbetet i panjohur. Vetë SolarWinds ka thënë se rreth 18,000 organizata në të gjithë botën morën updatetë platformës Orion. Ekspertet që kanë analizuar sulmin kanë thënë se numri aktual i organizatave që kundërshtarët ishin të interesuar është shumë më i vogël. Microsoft, për shembull, tha se gjeti prova se vetëm rreth 40 klientë të saj që kishin shkarkuar update të Orionit u komprometuan përmes masave shtesë dhe më të sofistikuara.
Sipas listave të përpiluara nga TruSec, Prevasio, Netresec dhe të tjerët, organizatat që mund të kenë shkarkuar update të SolarWinds Orion përfshijnë Cisco, Deloitte, Intel, Nvidia, Belkin, Hasbro, Qualys, Microsoft, FireEye, Malwarebytes, Palo Alto Networks dhe Komunikimet Cox. Përveç kësaj, disa agjenci qeveritare u ndikuan, duke përfshirë departamentet e Tregtisë, Energjisë, Mbrojtjes, Drejtësisë dhe Sigurisë Kombëtare. Sipas FBI, CISA dhe të tjerët, më pak se 10 agjenci kanë qënë viktimë follow-up threat activity pasi backdoor u bë deployed.
FireEye zbuloi se sulmi rezultoi në vjedhjen e mjeteve të skuadrës së kuqe. Eshtë e paqartë se sa të tjerë që shkarkuan përditësimet Orion përjetuan vjedhje të ngjashme të të dhënave dhe pasoja të tjera.
Një analizë nga Kaspersky e rreth 2,000 domeneve të impaktuara nga Sunburst backdoor zbuloi se organizatat industriale përbënin 32.4% të viktimave, pasuar nga prodhimi (18.11%), shërbimet komunale (3.24%), ndërtimi (3.03%), dhe transporti dhe logjistika ( 2.97%)
