Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Amerykańskie agencje pohackowane. Napastnicy wbudowali backdoor w aktualizację oprogramowania Solarwinds Orion… używanego również przez Polskę
Co dopiero pisaliśmy o ataku na amerykański Departament Skarbu, a tymczasem pokazało się więcej informacji o samym incydencie, które dodatkowo wskazują na o wiele większą kampanię:
The victims have included government, consulting, technology, telecom and extractive entities in North America, Europe, Asia and the Middle East.
Cały czas mowa jest o napastnikach posiadających naprawdę duże możliwości (niektórzy wskazują wprost na Rosję). Jak dochodziło do ataku? Napastnicy podmienili pliki na oficjalnej stronie z aktualizacjami Solarwinds, co więcej udało się im również cyfrowo podpisać „lewe” binarki:
SolarWinds.Orion.Core.BusinessLayer.dll is a SolarWinds digitally-signed component of the Orion software framework that contains a backdoor that communicates via HTTP to third party servers. We are tracking the trojanized version of this SolarWinds Orion plug-in as SUNBURST. (…)
Multiple trojanzied updates were digitally signed from March – May 2020 and posted to the SolarWinds updates website, including:
hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp
Samo oprogramowanie nie zaczyna od razu „nacierać”, odczekuje dwa tygodnie i dopiero później realnie zaczyna infekować ofiarę, co więcej maskując swój ruch jako Orion Improvement Program (OIP) protocol.
After an initial dormant period of up to two weeks, it retrieves and executes commands, called “Jobs”, that include the ability to transfer files, execute files, profile the system, reboot the machine, and disable system services. The malware masquerades its network traffic as the Orion Improvement Program (OIP) protocol and stores reconnaissance results within legitimate plugin configuration files allowing it to blend in with legitimate SolarWinds activity.
Sam Solarwinds wydał oświadczenie wskazując obecność backdoora w oprogramowaniu wydawanym w miesiącach od marca do czerwca 2020r.
Prywatnik wskazuje dodatkowo, że oprogramowania prawdopodobnie używa polskie MSWiA. Czy Polska również została uderzona za pomocą omawianej kampanii…?
–ms
„Czy Polska również została uderzona za pomocą omawianej kampanii…?” – jest to mało prawdopodobne. Skoro zmiany w kodzie odbyły się między marcem a czerwcem br. to jest wielce prawdopodobne, że nikt się nie ośmielił zaktualizować, choć przyznam, że raczej nie aktualizował tego od wielu lat.
to pewniak !!!! aktualizuje się nie częściej niż raz na rok. Jak nie ma poważnych zmian to nie aktualizuje się przez kilka lat w myśl zasady – działa nie ruszaj
Ziomki, to się mogło samo zaktualizować ;)
Ciekawy wpis, ale brakuje tutaj informacji że ten backdoor został wykorzystany w skutecznym ataku typu supply chain na FE.
https://www.zdnet.com/article/microsoft-fireeye-confirm-solarwinds-supply-chain-attack/
Jaki związek z ww ma dzisiejszy pad wszystkich usług google?
Nie wiem jak gdzieindziej ale w MSWIA mają paranoiczne podejście do dawania systemom dostępu do internetu i z internetu, i najlepiej wszystko u nich przez ich sieci separowane. Sam miałem kiedyś u nich klocki i doświadczyłem tego jak musiałem zaktualizować z internetu, i chcieli wiedzieć na jakie i czyje dokładnie adresy, porty i protokoły, i w jakich godzinach ma być ten ruch dopuszczony, co oczywiście dołożyło mi roboty.
A to tak się nie robi w każdej porządnej instytucji?
Każdy closed source należy traktować jako malware. Jak stępioną wrażliwość trzeba mieć, żeby korzystać z zamkniętych rozwiązań do wrażliwej infrastruktury.
W open source malware żyje krócej i przez to jest mniej opłacalny.
PS Nie tylko open source ale reprodukowalne budowanie.
Pan z MSWiA moze?
Otóż to.
Oprogramowanie otwartoźródłowe, nawet wraz z reproducible builds, samo w sobie nie gwarantuje bezpieczeństwa (to może zagwarantować tylko porządny audyt, i to też tylko częściowo).
Jednak closed-source jest zawsze wielką niewiadomą i dlatego powinno być surowo zabronione w sektorze państwowym, z sankcjami karnymi włącznie.
> „i dlatego powinno być surowo zabronione w sektorze państwowym”
Znajdź producenta switchy zarządzalnych, który oferuje otwarty soft.
Pewnie jest więcej takich przypadków, że zamknięty soft nie ma otwartego odpowiednika. Albo ma, ale nie wystarczającej jakości i funkcjonalności.
openvswitch oraz wszystko to co pozwala ci zbudować stos sieciowy w kernelu linuxa plus se plus apparmor
Jak nic wrócą update’y na CD/DVD/Bluray :D
Jakie szczęście, że mnie to nie obchodzi, bo od solarwinds używam tylko Solar-PuTTY.