Ранее на этой неделе стало известно о масштабной атаке на цепочку поставок, от которой пострадала компания SolarWinds и ее клиенты. Список пострадавших продолжает пополняться, и в настоящее время известно, что хакеры скомпрометировали:
- американскую ИБ-компанию FireEye;
- Министерство финансов США;
- Национальную администрацию по информатике и телекоммуникациям при Министерстве торговли США (NTIA);
- Национальные институты здоровья при Министерстве здравоохранения США (NIH);
- Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA);
- Министерство внутренней безопасности (DHS);
- Государственный департамент США.
Неизвестные хакеры заразили малварью SUNBURST (она же Solorigate) платформу Orion, предназначенную для централизованного мониторинга и управления. Как правило, Orion используется в крупных сетях для отслеживания всех ИТ-ресурсов, таких как серверы, рабочие станции, мобильные телефоны и IoT-девайсы.
Собственные индикаторы компрометации и инструкции по работе с зараженными системами выпустили Microsoft, FireEye и Агентство по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA).
Известно, что среди 300 000 клиентов компании только 33 000 использовали Orion, и всех их уже уведомили о случившемся. При этом, по данным SolarWinds, зараженная версия платформы Orion была установлена у 18 000 клиентов.
Утечка данных
Официально SolarWinds пока не сообщала, как именно хакеры сумели проникнуть в ее сеть. Но многие СМИ обратили внимание на заявления ИБ-исследователя Винота Кумара (Vinoth Kumar), который утверждает, что учетные данные от сервера обновлений SolarWinds еще в 2018 году были свободно доступны в официальном репозитории компании на GitHub. По словам Кумара, он заметил эту утечку в ноябре, и пароль от сервера был элементарным: «solarwinds123».
Was reading about a sophisticated attack on FireEye leveraging Solarwinds. Hmmm how that would happened??. Then realized their password was *****123 ? #FireEye #SolarWinds pic.twitter.com/foGzEOdytG
— Vinoth Kumar (@vinodsparrow) December 14, 2020
Кумар писал, что используя эти учетные данные, он сумел загрузить файл на сервер компании, тем самым доказав, что система небезопасна, о чем и уведомил SolarWinds в ноябре 2020 года. В итоге утечку устранили 22 ноября.
Исследователь не заявляет, что именно это учетные данные сыграли какую-то роль во взломе платформы Orion, но признает, что это возможно. Дело в том, что вредоносные бинарники Orion все же были подписаны, что намекает на более широкую компрометацию сети компании.
«Если бы они получили доступ к билд-серверам, им не потребовались бы учетные данные от FTP. Но если бы они просто завладели сертификатом подписи и учетными данными от FTP, они могли изменить .dll, подписать его и загрузить на FTP-сервер», — рассказал Кумар журналистам The Register.
Теорию утекших учетных данных подтверждает и информационное агентство Reuters, согласно источникам которого, в даркнете уже давно продавали доступы к системам SolarWinds.
Об этом же сообщают и аналитики компании Group-IB. По их данным, хакер из Казахстана, известный как Fxmsp, еще в октябре 2017 года продавал доступы к http://solarwinds.com и http://dameware.com (программное обеспечение дистанционного управления от Solarwinds) на известном андеграундном форуме exploit[.]in. Причем компании были одними из первых, доступы к которым Fxmsp выставил на продажу в паблике.
Microsoft блокирует домен хакеров
Тем временем, издание ZDNet, со ссылкой на собственные источники в индустрии, пишет, что Microsoft и ее партнеры захватили управление доменом, сыгравшим главную роль в компрометации SolarWinds, и устроили ему sinkhole. Речь идет о домене avsvmcloud[.]com, который служил управляющим сервером для малвари SUNBURST, которая распространилась по сетям 18 000 клиентов SolarWinds через вредоносную версию Orion.
Источники издания описывают эту операцию как «защитную», направленную на то, чтобы операторы малвари не могли передавать новые команды на зараженные компьютеры.
