Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2020 - 31.12.2020
 

Graf

Aktualizácie SolarWinds Orion infikované malvérom, zneužité na masívnu špionážnu kampaň

15.12.2020
Platforma Orion spoločnosti SolarWinds sa stala nástrojom kybernetického útoku vysoko sofistikovanej skupiny, ktorej cieľom bola najmä špionáž vládnych organizácií. Cieľom útoku bola aj bezpečnostná spoločnosť FireEye. Útočníci kompromitovali svoje obete pomocou trojanizovaných aktualizácií platformy Orion. Vo svojom vyhlásení SolarWinds odporúča svojim zákazníkom bezodkladne aktualizovať svoj produkt záplatou, ktorá nebola infikovaná.

 

Dôsledky

  • Vzdialené vykonávanie príkazov a kódu
  • Únik citlivých informácií a súborov
  • Manipuláciami so systémovými službami

Opis činnosti
Spoločnosť SolarWinds utrpela útok na svoju platformu Orion cez dodávateľskú infraštruktúru. Kompromitácia nastala pravdepodobne ešte na jar tohto roka. Útočníkom sa podarilo infikovať aktualizácie platformy pre správu a monitoring IT infraštruktúry malvérom SUNBURST (FireEye), resp. Solorigate (Microsoft), ktorý umožňuje vytvorenie zadných vrátok v napadnutom systéme. Útok potvrdili spoločnosti FireEye a Microsoft.

Kompromitovaný bol komponent platformy Orion SolarWinds.Orion.Core.BusinessLayer.dll, ktorý bol podpísaný legitímnym certifikátom. Po inštalácii ostáva dva týždne neaktívny. Následne začne prijímať a vykonávať príkazy zo serverov útočníkov cez protokol HTTP (jedným z riadiacich serverov je avsvmcloud.com). Dokáže odosielať a spúšťať súbory, sledovať prostredie, vypínať systémové služby a reštartovať napadnuté zariadenie. Zároveň deteguje prítomnosť antivírových riešení a forenzných nástrojov.

Škodlivá verzia SolarWinds Orion ukrýva výsledky svojej špionážnej činnosti do legitímnych konfiguračných súborov a svoju sieťovú komunikáciu pomocou protokolu OIP (Orion Improvement Program), slúžiaceho spoločnosti SolarWinds pre zber používateľských dát pre vylepšovanie produktu. Pre zníženie pravdepodobnosti detekcie útoku bola komunikácia smerovaná cez služby VPN na IP adresy krajiny obete.

Táto udalosť je jedným zo súčasnej série útokov na americké vládne organizácie, ktorých obeťami sa stali okrem iného US Treasury a National Telecommunications and Information Administration. Cieľom kybernetickej špionážnej kampane bola interná e-mailová komunikácia. Obeťou kampane sa stala aj bezpečnostná spoločnosť FireEye, ktorej útočníci ukradli testovacie ofenzívne kybernetické nástroje.

Denník The Washington Post uviedol v informácii od nemenovaného zdroja, že za útokmi stojí ruská štátnom sponzorovaná APT skupina Cozy Bear (APT29). Portál ZDNet informoval, že podľa viacerých bezpečnostných výskumníkov tomu nasvedčujú aj súčasné dôkazy.

Zraniteľné systémy

  • SolarWinds Orion verzie 2019.4 až 2020.2 HF 1

Závažnosť zraniteľnosti
Vysoká

Možné škody
Škodlivý softvér (Malware) Únik informácii Narušenie dostupnosti systému (Dos) Vzdialené vykonávanie kódu

Odporúčania

Bezodkladná aktualizácia aspoň na verziu 2020.2.1 HF 1, respektíve 2019.4 HF 6.

Ak toto nie je možné, pre zmiernenie dopadov zraniteľnosti odporúča spoločnosť SolarWinds umiestniť platformu Orion za firewall, odpojiť ju od internetu a obmedziť otvorené porty na nutné minimum.

Pravidlá pre detekciu malvéru SUNBURST nájdete na Githube spoločnosti FireEye.

Odkazy
https://www.theregister.com/2020/12/14/solarwinds_fireeye_cozybear/
https://thehackernews.com/2020/12/us-agencies-and-fireeye-were-hacked.html?fbclid=IwAR3uPMmgOUCXs-XUJDBT9tEUC91tZI1Pj_5bHKvdJSJH2zsTmihWGpsOFuo
https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/
https://www.solarwinds.com/securityadvisory
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html?1
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/
https://www.washingtonpost.com/national-security/russian-government-spies-are-behind-a-broad-hacking-campaign-that-has-breached-us-agencies-and-a-top-cyber-firm/2020/12/13/d5a53b88-3d7d-11eb-9453-fc36ba051781_story.html



<< zoznam oznámení