HOGYAN TÖRTÉNHETETT AZ ORION HACK?
A közelmúltban történt SolarWinds Orion hack, az egyik legsúlyosabb internetes támadás része a történelemben.
Mint azt a bahir is megírta, a napokban egy jelentős kibertámadás történt a SolarWinds egyik termékén, az Orion szoftveren keresztül. Az Orion egy hálózatot monitorozó termék (az egész hálózati infrastruktúra látható általa) és gyakorlatilag több köz- és magánszektorbeli vállalat is ezt a terméket használja itthon Magyarországon és a világon egyaránt. Kezdetben szinte piacvezetőnek számított a területen és még most is komoly felhasználói körrel rendelkezik.
A FireEye kiberbiztonsági óriás jelentette az esetet legelőször december 8-án, hogy meghekkelték őket valószínűleg orosz nemzetállami szereplők. A vállalat akkor elmondta, hogy a hackerek olyan új technikákat alkalmaztak, amelyekkel az egész világ meghekkelhetővé válhatott. A hachekerek a biztonsági cég Red Team eszközeiről gyűjtöttek információkat. A FireEye elmondása alapján nem sikerült értékes információt elvinniük, mert nagy részük publikus is volt.
Vagyis egy kiberbiztonsági cég általában két csapatra bomlik a Red Team és a Blue Team-re. Ezek közül a Blue Team a védelemre összpontosít, míg a Red Team azokat a módszereket alkalmazza, amelyekre a valódi hacker képes és elérhető a számára. Ezen támadásokról gyűjtöttek információkat a hackerek. Rossz kezekben súlyos kockázatot jelentenek.
A támadás rendkívül kifinomult technikát alkalmazott. A rosszindulatú malware-t a szoftverfrissítésbe helyezték el a támadók és képesek voltak beinjektálni egy back door-t (hátsó ajtó) is az Orion szoftverbe egy meglévő plugin forráskódjának módosításával, amit a SolarWinds aláírt és a webhelyén az elérhető frissítések között szerepeltetett. Amit a feltelepített termék automatikusan update-tel a webhelyről. A rosszindulatú DDL-t a Microsoft kutatói Solarigate-nek keresztelték, míg a FireEye Sunburst-nek nevezi.
A fertőzött frissítés már több hónapja elérhető volt. 2020 márciusában kerülhetett ki a szerverre. Így azok, akik a frissítésben még nem érték el azt a verzió számot, talán meg is úszták. A Microsoft, a FireEye és a GoDaddy közösen együttműködve létrehoztak egy kill switch-et, ami arra kényszeríti a rosszindulatú programot, hogy megszüntesse önmagát. Ugyanakkor az még sok energiát emészt fel, hogy az addigi problémát felderítsék a hálózati kutatók, hiszen amennyiben az aktor tovább lépett a hálózaton belül másik gépre, és ott újabb back door-t hozott létre, azt a kill switch nem távolítja el.
A SolarWinds tőzsdei árfolyama 24,118 százalékot esett azóta, hogy először megjelentek a hírek a jogsértésről. Várhatóan a perek is beindulnak ezután. A jogi következmények függhetnek attól is, hogy a SolarWinds mit tudott, vagy mit kellett volna tudnia és hogyan reagált ezekre.
SolarWinds Corporation vállalat részvényértéke (amerikai dollár)
Brian Krebs amerikai nyomozó riporter a blogján közzétett bejegyzése szerint Vinoth Kumar kiberbiztonsági bug hunter az eset után a Twitteren közétette egy korábbi, 2019. novemberi üzenetét, melyben jelezte a SolarWinds felé az általa felfedezett sebezhetőséget. A sérülékenységet a vállalat FTP szerverén találta. A szervert egy nagyon egyszerű jelszó védte, és éppen ott tárolták az update exe-ket. A bug vadász jelezte a vállalat számára, hogy ezzel az egyszerű jelszóval védett szerveren tárolt frissítéseket egy rosszindulatú támadó képes lehet kihasználni.
Vinoth Kumar @vinodsparrow Twitter bejegyzése
Továbbá Andrew Morris, a GreyNoise Intelligence biztonsági cég alapítója jelezte, hogy miután kiderült az incidens, sem távolította el a SolarWinds a feltört Orion update DDL-jét.
Andrew Morris @Andrew__Morris twitter bejegyzése
