Vi köper begagnad IT-utrustning!

SolarWinds: Datasäkerhet år 2021

solarwinds cyber attack
Lästid: 7 Protokoll

Vem är Solarwinds?

Solarwinds är en av många till synes oskyldiga programvaror för nätverksövervakning. Med intäkter strax under en miljard dollar är detta inte en branschjätte som IBM eller Microsoft. Och ändå var Solarwinds katalysatorn för en rad nätverksintrång som inte har setts på länge, om någonsin. 

russians hacking US government

Vad hände?

Flera avdelningar inom regeringen utsattes för intrång, däribland finansdepartementet, Homeland Security, handelsdepartementet, försvarsdepartementet, energidepartementet, delstatsdepartementet och hälsovårdsdepartementet. FireEye, ett stort cybersäkerhetsföretag, utsattes också. Inom den privata sektorn utsattes bland annat Cisco, Intel, VMware, Microsoft och Nvidia för intrång. Totalt har potentiellt tusentals organisationer har blivit infekterade av skadlig kod. Det var inte begränsat till USA, utan även Europa, Asien och Mellanöstern drabbades.

Vad innebär detta för dig och mig? 

Om du inte arbetar med cybersäkerhet (och om du gör det har du vårt deltagande) är de primära problemen: inblandning av regeringen, stöld av immateriella rättigheter och störningar i verksamheten. Närmare bestämt följer hårdvarudata på anställdas data, som i sin tur följer på företagets data. Med hårdvaruåtkomst kan dåliga aktörer göra saker som att störa energiinfrastruktur, till exempel. 

Men kanske är den största lärdomen att även ett toppföretag inom cybersäkerhet utsattes för intrång. De vinner poäng för att de upptäckte intrånget när ingen annan gjorde det, men om de inte kunde förhindra det, vilken chans har genomsnittliga team?

I det avseendet tycker jag att det är värdefullt att granska hur det gick till.

Skådespelarna skapade en Windows Installer Patch-fil inklusive en bakdörrsversion av en standard solarwinds-uppdateringsfil. De fortsatte med att lägga upp dessa skadade uppdateringar på SolarWinds webbplats med en legitim signatur. När SolarWinds laddade ner uppdateringen till sin Orion-programvara laddade den (normala) BusinessLayerHost.exe den trojaniserade DLL-filen. Efter ett par veckor försöker trojanen lösa en avsvmcloud[.]com-underdomän. DNS svarar sedan med en CNAME-post riktad mot en Command and Control-server. I grund och botten använde de värdnamnen på giltiga tjänster. Trafiken till de skadliga domänerna är förklädd till SolarWinds API-data. 

Därifrån fick de tillgång till programvara som i sig ger dem tillgång till nätverkskommunikation från SolarWinds klienter. 

detection data security

Varför blev de inte upptäckta?

De klassificerades som mycket skickliga hackare av en anledning. De väntade i två veckor innan de gick till attack. De använde rutinmässiga underhållsuppgifter för att smyga sig in. Efter att ha tagit sig in på djupet infogade de minneskod i normala processer för att ersätta en del av systemet, få tillgång till okomprometterade inloggningsuppgifter och sedan ersätta den skadliga delen med den normala delen. 

Om det fanns någon teknik för att dölja sina spår, så använde de den. De utvärderade säkerheten i alla SW:s kunders system individuellt, ett i taget, och anpassade sedan varje intrång till kunden. 

Tidslinjen för attacken

2019: Förberedelser för anfall

4 september

Okända, mycket skickliga cyberangripare får tillgång till SolarWinds.

12 september

Dåliga aktörer injicerar sin SUNBURST-kod i Orion Platform Software som ett första test. Med hjälp av amerikanska servrar och mycket förklädd nätverkstrafik undvek de upptäckt av alla nätverk som använder Orion-plattformen.

data breach begins

2020: Attacken inleds

20 februari

Efter att ha uppdaterat SUNBURST-koden genomför de dåliga aktörerna sin attack. Under de följande månaderna lyckas de tränga in i de enskilda nätverken för många Orion-användare.

4 juni

Hackarna extraherar sin trojanskod från SolarWinds och döljer sina spår.

8 december

Ett cybersäkerhetsföretag, FireEye, meddelar att hackare stulit deras verktyg för penetrationstestning ("red team"-verktyg som används för att testa sina kunders cybersäkerhetsförsvar) och varnar andra företag för motsvarande risk om dessa verktyg vänds mot dem.

11 december

FireEye undersöker vidare och fastställer att SolarWinds var grundorsaken till överträdelsen. De upptäckte att Orion Platforms uppdateringar var trojaniserade, vilket gjorde det möjligt för dem att infiltrera SolarWinds-klienter från någon av programvaruutgåvorna från mars 2020 till juni.

12 december

FireEye avslöjar för SolarWinds att deras Orion-plattform utsatts för intrång av hackare. Vita huset och NSC genomför ett möte för att fastställa omfattningen av hackningen av statliga organisationer.

13 december

Efter att ha granskat situationen utlyser CISA (Cybersecurity and Infrastructure Security Agency) ett nödmandat för alla statliga institutioner att ta bort all SolarWinds Orion-aktivitet på grund av de pågående farorna för den nationella säkerheten.

FireEye rapporterar att en cyberangripare använde SolarWinds uppdateringsleverantörskedja som vapen och därefter bröt sig in hos kunder globalt.

SolarWinds beskriver intrånget i sin Orion-plattform och tillhandahåller metoder för sina kunder att försvara sina nätverk. Microsoft gör också ett uttalande om konsekvenserna av SolarWinds hack för deras kundbas.

Reuters offentliggör SolarWinds-historien, där Ryssland anges som huvudmisstänkt och den obestämda omfattningen av attacken mot den amerikanska federala regeringen.

15 december

Senaten begär att FBI och CISA undersöker SolarWinds-frågan och ge mer information om cyberattacken mot regeringen till kongressen.

En programvarupatch tillhandahålls av SolarWinds; de förmedlar ytterligare information om attacken.

Journalister släpper information om att bland annat Homeland Security, NIH och DHS utsatts för övergrepp.

16 december

Cybersäkerhetsgruppen fastställer den domän som används av cyberangriparna tillsammans med en kill switch för att avaktivera SUNBURST-koden.

FBI inleder sin undersökning av bakgrunden till attacken för att minska risken för framtida attacker.

New York Times förklarar risken för vår nations säkerhet.

SolarWinds utvecklar attacken; de förklarar att deras verktyg för hanterade tjänsteleverantörer inte komprometterades, även om åtgärder vidtogs för att förhindra ytterligare intrång, eftersom alla partners meddelades att återställa sina digitalt signerade certifikat eftersom SolarWinds återkallade gamla referenser.

17 december

Microsofts infosec-team meddelar att deras orion-programvara har utsatts för intrång, men att risken har eliminerats. De rapporterar att deras system inte verkade vara komprometterat.

19 december

Enligt uppgifter från media och cybersäkerhetsanalytiker har försvaret hos cirka 200 företag och institutioner äventyrats.

22 december

Finansdepartementet meddelar att potentiellt hundratals e-postmeddelanden genom hela befälskedjan har infiltrerats.

Fler säkerhetsuppdateringar från SolarWinds blir tillgängliga.

Julafton

SolarWinds förklarar hur de senaste säkerhetsuppdateringarna och korrigeringarna hanterar Orion Supernova-attacken.

30 december

Myndigheten för cybersäkerhet och infrastruktur uppmanar övriga myndigheter att uppdatera sina Orion-program till uppdateringsversionen 2020.2.1HF2.

solarwinds aftermath

2021: SolarWinds efterdyningar

5 januari

SentinelOne lanserar ett SUNBURST-beredskapsverktyg för att hjälpa företag att utvärdera sitt cybersäkerhetsförsvar.

5 januari

USA:s underrättelsetjänst identifierar Ryssland som den förmodade gärningsmannen bakom SolarWinds-intrånget.

6 januari

En reporter för NYT skriver att JetBrians TeamCity CI/CD-plattform kan vara inblandad i den ryska cyberattacken. Specifikt det, TeamCity-servern hjälper utvecklare att bygga färdig programvara, varav en är SolarWinds-programvara.

JetBrians VD förnekar att någon utredning har pågått och förklarar att användarfel och felkonfigurering mycket väl kan ha lett till ett intrång.

SolarWinds tar in sin tidigare VD som interimskonsult för att hantera följderna av attacken.

8 januari

SolarWinds utökar PR-insatserna för att mildra bakslag, säger att de kommer att fördjupa cybersäkerhetsresurserna och utöka insatserna. SolarWinds tar med sig infosec-konsulter som formellt arbetade för Facebook och CISA.

11 januari

Kaspersky drar en jämförelse mellan SolarWinds-attacken och tidigare aktiviteter från den ryska säkerhetstjänstens medbrottsling inom cyberkrigföring, Turla-gruppen.

Crowdstrike beskriver hur de ryska angriparna använde ett verktyg som heter SUNSPOT för att attackera SolarWinds-system och skapa sin SUNBURST-bakdörr.

SolarWinds anställer fler medarbetare i InfoSec-teamet och ytterligare information om attacken offentliggörs.

solarwinds cyber attack

SolarWinds: Future Implications on Data Security and the InfoSec industry.

Det har inte förekommit en cyberattack med så hög profil som SolarWinds-intrånget på många år (som vi känner till).

Även om vi kanske aldrig kommer att få veta hela omfattningen av hur attacken genomfördes verkar konsensus vara att detta var en mångfacetterad attack i leveranskedjan. CI/CD-serverinfiltrering i programvarubyggnaden av solarwinds -> tillgång till uppdateringsprogramvara -> tillgång till Orion-plattformen för klienter -> manuellt infiltrera klientnätverken.

Federala regeringar utsattes för intrång. Företag över hela världen utsattes. För att förhindra framtida attacker behöver vi bättre kommunikation mellan cybersäkerhetsteam. Genom att dela med oss av löpande hotinformation kan vi förhindra att attacker som denna eskalerar.

Attacker mot leveranskedjan är inte på väg någonstans; tredjepartsprogramvara är lätt att manipulera för att infiltrera de applikationer som de samverkar med. Den undersöks och beaktas också mindre rutinmässigt än intern programvara. Som ett resultat kommer företagen säkert att öka försvaret mot åtkomst till tredjepartsleverantörer. Det återstår att se om detta kommer att räcka för att förhindra liknande attacker.

JetBrains har inte formellt utsetts till en av attackvektorerna, men det faktum att de inte kan uteslutas understryker vikten av att skydda utvecklingsmiljön för programvara. SAST-, DAST- och SCA-verktygen för säkerhetstestning kommer att utökas och bli mer allmänt förekommande för att kväva risker i sin linda innan de kan bli ett större problem.

Som hypersegmentering och noll förtroende måste teamen anpassa sig till de nya restriktionerna och hitta nya sätt att upprätthålla drift och kommunikation inom nätverket.

Slutligen är det viktigt att upprätthålla en säker IT-livscykel för att skydda fysiska databärare från dataläckage. När vi har hjälpt våra ITAD-kunder har vi hittat och säkrat många inloggningar och digitala certifikat på oskyldiga medier som USB-minnen som av misstag lämnats kvar i servrar. Kontakta oss för en kostnadsfri offert för att skydda ditt varumärke och återfå kapital från dina IT-tillgångar.

sv_SESwedish