SolarWinds

Doar lenesii au scapat. Desfasurarea actiunii


Evaluarile publicate pe blogul FireEye indica faptul ca patrunderea initiala a avut loc inca din octombrie 2019, cand au fost implantate secvente de test, inofensive, cu terminatia .net, in versiunea 2019.4.5200.8890 a Platformei Orion. Aceste fisiere au avut trei roluri: de a asigura „stabilirea prezentei” in program, de a ajuta la confirmarea conceptului operaţional prin teste, respectiv de a constitui locatia de instalare ulterioara a secventei malware Sunburst. Ca efect, in aceasta prima faza, hackerii au realizat trei obiective: au compromis constructia sistemului, au injectat linii de program si au verificat daca pachetele de date „semnate” / autentificate de Orion apareau intacte in sistemele / serverele clientilor din retea, aşa cum prevedea functionarea Platformei Orion. Fisierele initiale au functionat cu cele trei roluri „administrative” pentru, probabil, cateva saptamani, cat a durat testarea şi validarea conceptului.

In a doua etapa, menita sa dezvolte prezenta stabilita anterior, hackerii au modificat versiunile 2019.4.5200.9083 (2019.4 HF5) a Platformei Orion, prima injectare cu „sarcina utila” de malware Sunburst, probabil catre finele anului 2019, apoi versiunile pana la 2020.2.1. Softul Sunburst are rolul de a cerceta reteaua infectata şi de a captura datele de interes, pentru a le transmite hackerilor. Sofisticarea secvenţei Sunburst consta in faptul ca traficul purtator de date sustrase este deghizat sub forma traficului de date firesc în cadrul functionarii normale a Platformei Orion.

Dar un astfel de „cal troian” memorat in bibliotecile Platformei Orion nu executa cu de la sine vointa ample activitati precum cele enumerate mai sus, el poate aştepta mult timp inactiv. „Calul troian” infiltrat trebuie activat de catre hackeri si directionat catre tintele alese de acestia in retelele clientilor, prin mecanismul de declansare numit „kill switch”, care „deschide usa din spate” pentru o anumita acţiune de spionaj. „Teapa” in sine nu atrage nici ea atenţia, pentru ca se desfasoara exact la fel ca activitatile legitime de verificare a retelei, pe care le execută programul Orion. Aceasta etapa s-a desfasurat, probabil, în primele trei luni ale anului 2020.

Analistii estimeaza ca, odata ce hackerii au stabilit o tinta, Sunburst primeste comanda de eliberare in retea a unei secvente secundare numita Teardrop. Acest al doilea produs toxic executa o serie de linii de program / comenzi conducand la instalarea „pionului otravit”, instrumentul Cobalt Strike, secventa propriu-zisa de penetrare ilicita. Ironia este ca aceasta categorie de software a fost proiectata exact pentru a consolida protectia sistemelor contra atacurilor pe care le mimeaza in acest scop. Software de acest nivel a fost instalat pe versiunea din martie 2020, care a fost distribuita beneficiarilor Platformei Orion. Acetsia au descarcat şi instalat produsul malware Sunburst ignorand faptul ca astfel dau hackerilor posibilitatea să acceseze nestingheriţi date protejate ale clientilor de nivelurile menţionate mai sus. Practic, versiunea compromisa a Platformei Orion a fost distribuita intre martie si iunie 2020, iar beneficiarii care şi-au actualizat softul de retea cu acea versiune sunt identificati ca victime ale operatiei SolarWinds. Ironia face ca tocmai beneficiarii leneisi, care au omis sa-si actualizeze softul de monitorizare a retelei, sa scape de actiunea hackerilor.

În a treia etapa, de exploatare a constructiei ilegale, odata ce „cheile regatului” au intrat în posesia hackerilor, acestia au putut / pot desfasura de voie cautari şi actiuni punctuale de sustragere („exfiltrare”) de date, oriunde in retelele penetrate.

In alerta mentionată, CISA estimeaza ca „obiectivele initiale ale adversarului… par a fi de a culege informatii despre mediul informational al victimelor… conturi de e-mail ale personalului esential, inclusiv al personalului IT si de prim raspuns la incidente”. Documentul precizeaza ca, dupa extinderea prezentei ai consolidarea integrarii ni Platforma Orion, „adversarul isi creeaza credentiale (parole) neautorizate, dar valabile, si le prezinta serviciilor care accepta credentiale valabile ale mediului (platformei de monitorizare)… Aceste credentiale pot fi folosite pentru accesarea resurselor din mediile soft gazda, cum ar fi e-mailuri, in vederea exfiltrarii de date prin interfete de programare cu aplicare autorizata”.

Lasă un comentariu

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Translate »