Ujawniono właśnie najciekawszy atak roku 2020. Grube ofiary, bardzo sprytna technika

dodał 14 grudnia 2020 o 09:23 w kategorii Włamania  z tagami:
Ujawniono właśnie najciekawszy atak roku 2020. Grube ofiary, bardzo sprytna technika

Takie incydenty są jak letnia olimpiada – zdarzają się raz na kilka lat i dostarczają mnóstwo emocji obserwatorom, a wiele wysiłku uczestnikom. Tym razem medale jednak dostaną najprawdopodobniej funkcjonariusze rosyjskiego wywiadu wojskowego.

Nieznani (choć przez media identyfikowani jako APT29) sprawcy przejęli kontrolę nad oprogramowaniem do monitorowania i zarządzania firmową infrastrukturą i za jego pomocą dobrali się do sieci wielu firm i organizacji na całym świecie. Co czyni ten incydent wyjątkowym?

Poniżej streszczenie, linki do źródeł znajdziecie na końcu artykułu. W miarę pojawiania się nowych informacji (i czasu na ich przetrawienie) ten artykuł będzie rósł, więc warto do niego wracać. Na dole znajdziecie także informacje o zakresie aktualizacji.

Powód pierwszy – skala potencjalnych ofiar

Sprawcy wstrzyknęli swój złośliwy kod do biblioteki programu SolarWinds Orion. Zainfekowany mógł zostać prawdopodobnie każdy z jej klientów. Kim są jej klienci? Firma wylicza na swojej stronie:

  • ponad 425 firm z listy Fortune 500,
  • wszystkie 10 największych telekomów w USA,
  • wszystkie rodzaje sił zbrojnych USA,
  • Pentagon, Departament Stanu, NASA, NSA, Departament Sprawiedliwości, Biały Dom, Secret Service,
  • 5 największych firm księgowych w USA,
  • VISA, MasterCard, Procter & Gamble, Cisco, Credit Suisse, Symantec, Volvo etc.,
  • setki uniwersytetów na całym świecie.

To oczywiście lista potencjalnych ofiar – na razie wiemy tylko o kilku potwierdzonych, a są to FireEye (pisaliśmy o tym incydencie kilka dni temu), amerykański Departament Skarbu oraz Krajowa Administracja Telekomunikacji i Informacji (element Departamentu Handlu). FireEye informuje o licznych ofiarach „w sektorach rządowym, konsultingowym, telekomunikacyjnym i wydobywczym w Ameryce Północnej, Europie, Azji i na Bliskim Wschodzie”. Antycypuje także dalszy wzrost tej listy.

Powód drugi – czas trwania ataku

Przecieki z raportu Microsoftu (w momencie publikacji artykułu nadal nieupublicznionego, udostępnionego tylko klientom Defender APT) wskazują, że pierwsze ślady ataku pochodzą z marca 2020 r. Takie same daty początkowe wskazuje FireEye, informując, że pliki wyposażone w złośliwy kod dystrybuowane były między marcem a majem 2020 r. Choć bez wątpienia do wielu infekcji mogło dojść później niż w marcu, to oznacza, że część z nich pozostawała niewykryta przez co najmniej 8 miesięcy – co jest ogromnym sukcesem operacyjnym tej kampanii.

Fragment raportu Microsoft

Powód trzeci – dyscyplina, kamuflaż i dyskrecja

Raport FireEye wskazuje wiele technik zapewniających długi czas penetrowania sieci ofiar przed wykryciem tej aktywności. Katalog technik i ich pomysłowość robi wrażenie. Największe wrażenie robi jednak konsekwencja, z jaką wszystkie te techniki zostały połączone w jedną całość, zapewniając niewątpliwy sukces operacji. Pamiętajmy, że napastnicy poruszali się w jednych z najbardziej monitorowanych i chronionych sieci świata, a mimo to całymi miesiącami pozostawali niewykryci. To robi ogromne wrażenie. Wcześniejsze analogiczne incydenty tej skali wskazywały na dużo krótszą skuteczność kamuflażu. Tu mieliśmy do czynienia z niezwykle zdyscyplinowanymi operatorami i utalentowanymi architektami tej aktywności.

Wkrótce rozbudujemy ten akapit – na razie polecamy lekturę raportu FireEye.

Dobre wieści

Paradoksalnie skala liczby potencjalnych ofiar jest dobrą wiadomością dla użytkowników SolarWinds Orion. Żadna służba specjalna nie ma nieskończonych zasobów, więc także w tym wypadku atakujący musieli uważnie wybierać swoje docelowe ofiary „do dalszej obróbki”. To nie oznacza, że administratorzy w tych firmach czy organizacjach mogą spać spokojnie – pewnie czeka ich anulowanie planów świątecznych i gruntowne porządki, jednak w większości przypadków mniej atrakcyjnych celów są szanse, że ich organizacje nie były na celowniku włamywaczy.

Druga dobra wiadomość jest taka, że to nie był atak typu NotPetya. Tam też doszło do penetracji tysięcy firm i organizacji za pomocą zmodyfikowanych plików legalnego oprogramowania, lecz zakończyło się masowym szyfrowaniem wszystkiego. Co prawda, wcześniej pewnie dochodziło do analogicznych kradzieży danych (kilka miesięcy między infekcją a szyfrowaniem), ale efekt końcowy był dużo bardziej dramatyczny,

Kto stoi za atakiem

FireEye nigdy nie wskazuje podmiotów odpowiedzialnych za ataki, nadaje im jedynie swoje własne nazwy w oparciu o analizę ich narzędzi i zachowania. Tej grupie nadał nową „etykietkę” o nazwie UNC2452.

Reuters mówi o „włamywaczach pracujących dla Rosji”, Washington Post o „rosyjskich hakerach rządowych” a Wall Street Journal wprost o Służbie Wywiadu Zagranicznego Federacji Rosyjskiej.

Podsumowanie

Nie mamy wątpliwości, że to najciekawszy atak tego roku, jak nie ostatnich kilku lat. Jego skutki będą bez wątpienia odczuwalne w wielu zaatakowanych organizacjach, a jego przebieg będzie wnikliwie studiowany i pozwoli udoskonalić procesy detekcji i eliminacji napastników.

Najważniejsze źródła

Polecamy lekturę poniższych dokumentów:

  1. Raport FireEye
  2. Raport Microsoftu
  3. Infrastruktura napastników
  4. Instrukcje amerykańskiego Departamentu Bezpieczeństwa dla podległych instytucji (warto!)
  5. Instrukcje Microsoftu
  6. Detekcja Windows Defendera
  7. Komunikat SolarWinds
  8. Artykuł Reutersa ujawniający incydent
  9. Artykuł WSJ

Aktualizacje

  • 2020-12-14 09:30: pierwsza wersja artykułu
  • 2020-12-14 09:45: dodany akapit „Dobre wieści” oraz linki do DHS i Defendera
  • 2020-12-14 10:40: dodany akapit „Kto stoi za atakiem”