SolarWinds: Att jaga stormen
SolarWinds-incidenten kommer att dominera diskussionen inom cybersäkerhet under många månader framåt. Den kommer troligen att bli ihågkommen som ett avgörande moment i vår branschs korta historia. Tyfonen som alla kommer att minnas. Mycket av diskussionen kommer att fokusera på vad förövarna gjorde, och vad offren inte gjorde. Många förbättringsförslag är på gång, och förhoppningsvis leder det till många viktiga förändringar.
SolarWinds kom emellertid inte från ingenstans, och ska heller inte betraktas på det sättet. SolarWinds är den oundvikliga konsekvensen av en kraftfull mängd av systemiska faktorer som tillsammans skapar ett klimat som till sin natur är labilt men ändå kan förutses. Medan prognoser för en viss dag kan slå fel, drivs den allmänna tendensen av kända krafter och system.
Denna flyktiga tendens ger för närvarande den som attackerar en stor fördel över den attackerade. Det kommer inte att ändra sig så länge man inte tar tag i de systemiska drivkrafter som skapar den. I detta fall innebär det att konfrontera och adressera vissa faktorer (som en stor statlig investering på förmåga till datahackning) och att acceptera och anpassa sig till andra (som starkt ömsesidigt beroende som finns i hjärtat av cyberrymden, affärsekosystemet och även samhället i allmänhet).
Plattformen SolarWinds Orion är ett enhetligt system för att övervaka, analysera och hantera IT-infrastruktur på distans.
Denna programvara används av mängd olika företag, däribland framstående amerikanska telekomföretag, banker och större amerikanska myndigheter.
Angripare, uppkallad UNC2452 enligt FireEye, lyckades tränga in i SolarWinds system ungefär i september 2019[2]. På ett listigt sätt lyckades de installera en bakdörr, kallad SUNBURST, i programvaran för plattformen SolarWinds Orion genom processen för att bygga dynamisk programvara, och därigenom infektera flera versioner av programvaran som gjordes tillgänglig för SolarWinds kunder via officiella, digitalt signerade uppdateringar. Enligt CrowdStrike*,som undersöker intrånget, uppnåddes detta genom en specifik malware-komponent kallad ”SUNSPOT”.
SUNSPOT är den malware som användes för att infoga SUNBURST-bakdörren i programvaruversioner av produkten SolarWinds Orion. Den övervakar processer som körs för de inblandade i kompilationen av Orion-produkten och ersätter en av källkodsfilerna för att inkludera SUNBURST-bakdörrenskod.
En tredje malware-typ kallas “Teardrop”. Den används under efterexploateringen och levereras av Sunburst. Teardrop används för att släppa en Cobalt Strike Beacon, som tillåter den att kommunicera med det vanliga kommando- och kontrollsystemet med samma namn. Det var inte känt vid den tiden hur SolarWinds själva blev utsatta för dataintrång, och detaljerna har ännu inte kommit fram.
Sunburst, bakdörren, är sofistikerad genom att den gömmer en betrodd komponent som är signerad med en ett legitimt SolarWinds-kodsigneringscertifikat. Bakdörren håller till i en betrodd process som används för IT-systemadministration. På så sätt smälter den in väl. SUNBURST kommer att förbli vilande vid en första infektionen mellan 12 till 14 dagar innan den påbörjar sina aktiviteter.
Angriparna använder SUNBURST för den första tillgången med avsikten att stjäla inloggningsuppgifter och erhålla säker fjärraccess till den komprometterade miljön. Angriparna använde säker fjärraccess med de stulna inloggningsuppgifterna för att propagera genom nätverket.
SUNBURST-bakdörren, som använder steganografi för att dölja all kommunikation, kan temporärt ersätta legitima verktyg med skadliga versioner, använda en domängenererad algoritm (DGA) för C2-värdnamnen de önskar att kontakta och kan upptäcka närvaron av anti-malware som kommer att orsaka att den blir vilande eller stoppar aktiviteten när den upptäcker dessa ”blocklist”-objekt.
Andra vektorer (utöver programvarubakdörren) kan också ha använts av angriparna och är för närvarande föremål för undersökning.
SolarWinds-historien har utvecklats kontinuerligt sedan den först dök upp, med flera viktiga regeringsorgan och företag (inklusive Microsoft) som bekräftar att de har blivit utsatta för intrång genom bakdörren i SolarWinds-programvaran.
De drabbade så långt innefattar det amerikanska finansdepartementet, NTIA (amerikanska post- och telestyrelsen), det amerikanska energidepartementet och den amerikanska kärnvapenbyrån.
Microsoft var också drabbat och har avslöjat ytterligare information om attacken de blev utsatta för. Företaget rapporterade att det har upptäckt ovanlig aktivitet hos ett litet antal konton. Vidare undersökningar klargjorde att angriparna använde dessa konton för att visa källkoden i flera källkodsrepositorier. Enligt Microsoft** har ingen kod ändrats då kontona endast hade läsbehörigheter.
Microsoft vidhåller att det faktum att angriparna såg källkoden inte innebar förhöjd risk eftersom hotmodellen förutsätter att angriparna hade kännedom om källkoden. Microsoft har inte delgivit vilka av deras produkter som påverkades eller hur länge angriparna var inne i deras nätverk.
Attacken är speciell, men vi bör titta helheten och inte lägga för stort fokus på de specifika detaljerna i SolarWinds-attacken. Vi måste inse att säkerhetslandskapet är djupt flytande och dynamiskt. Vi måste omforma oss snabbt och kontinuerligt samt positionera oss för att uppfatta och respondera på lämpligt sätt. Vi bör inte distraheras av angriparens identitet eller spekulationer om statligt supporterade attacker. Ransomware-attacker, botnät, crypto miners och liknande följer alla samma ”opportunistiska” filosofi där inget mål är för litet eller obetydligt.
Det är därför avgörande med ett nytt tankesätt, att gå bort från naiva reglerbaserade säkerhetspraxis och istället använda en agil, intelligensbaserad strategi.
På Orange Cyberdefense implementerar vi en filosofi om ”intelligensstyrd säkerhet” för att säkerställa att vi är uppdaterade om viktiga händelser som ex SolarWinds och tillräckligt agila för att ge våra kunder information när nya hot och sårbarheter uppstår. Intelligensstyrd säkerhet är insamling och analys av såväl intern som extern data. För att förstå de ständigt förändrade riskerna, och för att begränsade säkerhetsresurser, kan investeras på lämpligt sätt och där de kommer att ha störst nytta.
I vår ‘World Watch’-tjänst (som erbjuds till våra kunder) samlas, analyseras och sammanfattas globala hot- och sårbarheter, säkerhetsinformation som är relevant för vår och våra kunders verksamheter. World Watch ‘Signals’ produceras av Threat Research-teamet på Orange Cyberdefense. I vår process, samlas säkerhetsinformation kontinuerligt från olika interna och externa källor, som sedan bearbetas för att producera säkerhetsbulletiner, sk ’signals’. Dessa kan levereras till ex CISO:s och säkerhetschefer när de behöver dem, och i önskat format.
Ett viktigt inslag i vår World Watch-process är att den användbara intelligensen som vi samlar in, sammanfattas och kommuniceras till våra operativa team tydligt, effektivt och i rätt tid för att säkerställa att lämpliga åtgärder kan vidtas för de kunder vi supporterar.
Framgångsrik cybersäkerhet kräver i dagens samhälle att vi hittar en fin balans mellan två tillstånd som ofta kommer att vara i spänning mellan varandra:
För det första, ett tillstånd av att vara ständigt agila, urskilja förändringar i vår miljö och anpassa vårt eget tillvägagångssätt därefter. Vilket omfattar såväl taktisk som strategisk nivå. För det andra, vi måste gå djupt för att förstå, anpassa eller påverka de underliggande systemfaktorerna som formar den flyktiga oformerade verkligheten vi tvingas kämpa med.
För att erbjuda en detaljerad förståelse av de underliggande orsakerna och konsekvenserna av Solorigate-attacken och hur man ska reagera på ett praktiskt och strategiskt sätt, har vårt research-team publicerat ett WhitePaper. Det finns tillgängligt för nedladdning, för er som vill förstå mer och som ständigt vill uppdatera er säkerhetsposition.
Källor:
*https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
**https://www.zdnet.com/article/solarwinds-hackers-accessed-microsoft-source-code/