Søk

  1. Norway
  2. Innsikt
  3. Blogg
  4. Cybersikkerhet
  5. SolarWinds: Angrepet

SolarWinds: Angrepet

Blogg Cyberforsvar

Share

Når du står overfor det uunngåelige, omfavn en ny måte å tenke på

Vær forberedt på dårlig vær

SolarWinds kom ikke som lyn fra klar himmel og burde ikke betraktes som en isolert hendelse. Solorigate er den uunngåelige konsekvensen av et kraftig sett med systemfaktorer som til sammen gir et ustabilt klima, men som likevel er forutsigbart. Selv om prognoser for en gitt dag kan slå feil, er den generelle utviklingen drevet av kjente krefter og systemer.

Denne ustabile konteksten favoriserer for øyeblikket angriperen og ikke forsvareren. Det vil ikke endres med mindre de systematiske drivkreftene som skaper ustabilitet blir administrert. I dette tilfellet betyr det å konfrontere og adressere visse faktorer, akseptere og tilpasse seg andre (for eksempel de sterke båndene til gjensidig avhengighet, som ligger i hjertet av cyberspace, forretningsøkosystemet og faktisk i samfunnet generelt).

Hvordan skjedde angrepet

SolarWinds Orion-plattformen er et enhetlig system for å overvåke, analysere og administrere IT-infrastruktur eksternt. Denne programvaren brukes av et stort antall selskaper, inkludert fremtredende US telco-operatører, banker og store amerikanske offentlige institusjoner. Angriperne, som ble kjent som UNC2452 av FireEye – et amerikansk cybersikkerhetsselskap, klarte å hacke SolarWinds en gang i september 2020. På sofistikert vis klarte de å sette inn en bakdør, navngitt SUNBURST, i SolarWinds Orion Platform-programvare via den dynamiske kompileringsprosessen, og dermed infisere flere versjoner av programvaren som ble gjort tilgjengelig for SolarWinds kunder via offisielle, digitalt signerte oppdateringer.

Ifølge CrowdStrike3 *, som etterforsker angrepet, var angrepet vellykket på grunn av en spesifikk skadelig komponent kalt “SUNSPOT”. SUNSPOT er den skadelige programvaren som brukes til å sette inn bakdøren, SUNBURST, i utviklingen av SolarWinds Orion-programvaren. Den overvåker kjørende prosesser involvert i kompileringen av Orion-produktet og erstatter en av kildefilene for å inkludere SUNBURST, dvs. koden til bakdøren. En tredje skadelig programvarekomponent kalles ‘Teardrop’ 4 **. Den brukes i den påfølgende fasen og leveres av SUNBURST. Teardrop brukes til å frigjøre “Cobalt Strike Beacon”, som igjen brukes til å kommunisere til det vanlige “Command and Control (C2)” -systemet med samme navn. Det var ikke kjent på det tidspunktet hvordan SolarWinds selv ble angrepet, og disse detaljene har ennå ikke kommet fram.

Bekymringsvekkende sofistikert metode

Bakdøren, Sunburst, er sofistikert fordi den gjemmer seg i en pålitelig komponent der programvarekoden legitimt er signert av et Solarwind-sertifikat. Bakdøren er i en pålitelig prosess som brukes til administrasjon av IT-systemer, der den er vevd inn og dermed er ekstremt vanskelig å oppdage.

SUNBURST vil være skjult og inaktiv, fra den første infeksjonen, 12 til 14 dager før den blir aktiv. Angriperne bruker SUNBURST for innledende tilgang med den hensikt å stjele data, samt etablere sikker ekstern tilgang til det kompromitterte miljøet. Angriperne brukte sikker ekstern tilgang med stjålne data for å spre seg videre i nettverket.

Bakdøren, SUNBURST, som bruker steganografi for å skjule all kommunikasjon, kan midlertidig erstatte legitime verktøy med ondsinnede versjoner, og bruke en domenegenerert algoritme (DGA) for C2-vertsnavnene de vil kontakte. I tillegg kan den oppdage tilstedeværelsen av anti-malware, noe som vil føre til at den stopper enhver aktivitet når den oppdager disse “blocklist” -objektene. Andre vektorer (i tillegg til programvarens bakdør) kan også ha blitt brukt av angriperne, noe som for tiden er under etterforskning. Informasjonen om SolarWinds er kontinuerlig oppdatert siden angrepet først ble kjent, og flere høyprofilerte myndigheter og selskaper (inkludert Microsoft) har bekreftet at de ble angrepet gjennom bakdøren, i SolarWinds-programvaren.

Hvem var målet?

Så langt inkluderer ofrene USAs finansdepartement, US NTIA, US Department of Energy og US Nuclear Weapons Agency. Microsoft var også et offer og har avslørt ytterligere detaljer angående angrepet de ble utsatt for. Selskapet rapporterte at det oppdaget uvanlig aktivitet på noen få kontoer. Videre undersøkelser viste at angriperne brukte disse kontoene for å få tilgang til kildekoden.

Ifølge Microsoft *** ble ingen kode endret fordi kontoene bare hadde leserettigheter. Microsoft hevder at angriperne som så på kildekoden ikke utgjør en økt risiko fordi deres vurdering av trusselen allerede forutsetter at angriperne har kunnskap om kildekoden. Microsoft har ikke avslørt hvilke av produktene deres som ble berørt, eller hvor lenge angriperne var inne i nettverket.

Vår kommentar

Angrepet er spesielt, men vi bør se på helheten og ikke fokusere for mye på de spesifikke detaljene i SolarWinds-angrepet. Vi må innse at sikkerhetslandskapet er flytende og dynamisk. Vi må endre oss raskt og kontinuerlig og posisjonere oss til å oppfatte og svare riktig. Vi skal ikke bli distrahert av angriperens identitet eller spekulasjoner om statsstøttede angrep. Ransomware-angrep, botnett, crypto miners og lignende følger alle den samme “opportunistiske” filosofien der ingen mål er for små eller ubetydelige.

Det er derfor avgjørende å ha en ny måte å tenke på, å bevege seg bort fra naiv regelbasert sikkerhetspraksis og i stedet bruke en smidig, etterretningsbasert strategi.

Hos Orange Cyberdefense har vi implementert en filosofi om “intelligensstyrt sikkerhet” for å sikre at vi er oppdatert på viktige hendelser som SolarWinds, og kan gi kundene våre informasjon når nye trusler og sårbarheter oppstår. Intelligensstyrt sikkerhet er innsamling og analyse av både interne og eksterne data. For å forstå de stadig skiftende risikoene, og for å begrense sikkerhetsressursene, kan kunder investere riktig hvor det vil ha størst innvirkning.

Vår ‘World Watch’-tjeneste samler inn, analyserer og oppsummerer globale trusler og sårbarheter, sikkerhetsinformasjon som er relevant for vår og våre kunders virksomhet. World Watch ‘Signals’ er produsert av Threat Research-teamet hos Orange Cyberdefense. I vår prosess blir sikkerhetsinformasjon kontinuerlig samlet inn fra forskjellige interne og eksterne kilder, som deretter behandles for å produsere sikkerhetsbulletiner, såkalte ‘signaler’. Disse kan leveres til f.eks CISO og sikkerhetsledere når de trenger dem, og i ønsket format.

Et viktig element i World Watch-prosessen er at den nyttige intelligensen vi samler inn, blir tydelig oppsummert og kommunisert til våre operasjonelle team tydelig, effektivt og i tide for å sikre at passende tiltak kan iverksettes for kundene vi støtter.

Konklusjon

Vellykket cybersikkerhet i dagens samfunn krever at vi finner en fin balanse mellom to tilstander som ofte vil være i konflikt mellom hverandre:

For det første, en tilstand av å være agile, der vi kontinuerlig ser endringer i miljøet vårt og deretter justerer vår egen tilnærming, både på et taktisk og et strategisk nivå. For det andre må vi gå dypt for å forstå, tilpasse eller påvirke de underliggende systemfaktorene som former den ustabile flyktige virkeligheten vi blir tvunget til å kjempe med.

For å tilby en detaljert forståelse av de underliggende årsakene og konsekvensene av Solorigate-angrepet og hvordan vi skal reagere på en praktisk og strategisk måte, har vårt forskerteam publisert en WhitePaper. Den er tilgjengelig for nedlasting, for de som vil forstå mer og vil oppdatere sin sikkerhetsposisjon – last ned her.

Kilder: 

https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/

https://www.zdnet.com/article/solarwinds-hackers-accessed-microsoft-source-code/

Incident Response Hotline

Står du overfor en cyberhendelse akkurat nå?

 

Kontakt vår globale 24/7/365 tjeneste incident response hotline.