Vem är Solarwinds?
Solarwinds är ett av många till synes oskyldiga program för nätverksövervakning. Med en omsättning på strax under en miljard dollar är detta inte en jätte i branschen som IBM eller Microsoft. Ändå var Solarwinds katalysatorn för en rad nätverksintrång vars like inte har skådats på länge, om ens någonsin.
Vad hände?
Flera av regeringens avdelningar komprometterades, inklusive finansdepartementet, Homeland Security, handel, försvar, energi, stat och hälsodepartement. FireEye, ett stort cybersäkerhetsföretag, komprometterades också. Inom den privata sektorn utsattes bland annat Cisco, Intel, VMware, Microsoft och Nvidia för intrång. Totalt, potentiellt tusentals organisationer har penetrerats av den skadliga programvaran. Den var inte begränsad till Förenta staterna, utan även Europa, Asien och Mellanöstern drabbades.
Vad innebär detta för dig och mig?
Om du inte arbetar med cybersäkerhet (och om du gör det... så beklagar vi verkligen det inträffade) är de främsta farhågorna: störningar av myndigheternas verksamhet, stöld av immateriella rättigheter och avbrott i verksamheten. Specifikt gäller att hårdvarudata följer medarbetardata som följer företagsdata. Med tillgång till hårdvara kan dåliga aktörer göra saker som att störa energiinfrastruktur, till exempel.
Men den kanske viktigaste lärdomen är att även ett av de främsta cybersäkerhetsföretagen utsattes för intrång. De får poäng för att de upptäckte intrånget när ingen annan gjorde det, men om de inte kunde förhindra det, vilken chans har då genomsnittliga team?
I det avseendet tycker jag att det är värdefullt att se över hur det gick till.
Skådespelarna skapade en Windows Installer Patch-fil med en bakdörrsversion av en standard Solarwinds-uppdateringsfil. De publicerade sedan dessa skadade uppdateringar på SolarWinds webbplats med en legitim signatur. När SolarWinds laddade ner uppdateringen till sin Orion-programvara laddade den (normala) BusinessLayerHost.exe den trojaniserade DLL-filen. Efter ett par veckor försöker trojanen lösa en avsvmcloud[.]com-subdomän. DNS svarar sedan med en CNAME-post som är riktad mot en Command and Control-server. I princip använde de värdnamnen för giltiga tjänster. Trafiken till de skadliga domänerna är förklädd till SolarWinds API-data.
Därifrån hade de tillgång till programvara som i sig ger dem tillgång till nätverkskommunikation från SolarWinds-klienter.
Varför blev de inte upptäckta?
De klassificerades som mycket skickliga hackare av en anledning. De väntade i två veckor innan de attackerade. De använde rutinmässiga underhållsuppgifter för att ta sig in. Efter att ha tagit sig in på djupet infogade de minneskod i normala processer för att ersätta en del av systemet, få tillgång till oskyddade uppgifter och sedan ersätta sin skadliga del med den normala delen.
Om det fanns en teknik för att dölja sina spår så använde de den. De utvärderade säkerheten i var och en av SW:s kunders system individuellt, ett i taget, och anpassade sedan varje intrång till kunden.
Tidslinje för attacken
2019: Förberedelser för anfall
4 september
Okända, mycket skickliga cyberangripare får tillgång till SolarWinds.
12 september
Dåliga aktörer injicerar sin SUNBURST-kod i Orion Platform Software som ett första test. De använde amerikanska servrar och mycket dold nätverkstrafik för att undvika upptäckt av alla nätverk som använder Orion-plattformen.
2020: Attacken inleds
20 februari
Efter att ha uppdaterat SUNBURST-koden genomför de onda aktörerna sin attack. Under de följande månaderna lyckas de tränga in i många Orion-användares individuella nätverk.
4 juni
Hackarna extraherar sin trojanska kod från SolarWinds och döljer därmed sina spår.
8 december
Ett cybersäkerhetsföretag, FireEye, meddelar att hackare stulit deras verktyg för penetrationstestning ("red team"-verktyg som används för att testa kundernas cybersäkerhetsförsvar) och varnar andra företag för motsvarande risk om dessa verktyg vänds mot dem.
11 december
FireEye undersöker vidare och fastställer att SolarWinds var grundorsaken till överträdelsen. De upptäckte att Orion-plattformens uppdateringar var trojaniserade, vilket gjorde det möjligt för dem att infiltrera SolarWinds-klienter från någon av programvaruversionerna från mars 2020 till juni.
12 december
FireEye avslöjar för SolarWinds att deras Orion-plattform utsatts för intrång av hackare. Vita huset och NSC håller ett möte för att fastställa omfattningen av hackningen av statliga organisationer.
13 december
Efter att ha granskat situationen förklarar CISA (Cybersecurity and Infrastructure Security Agency) ett nödmandat för alla statliga institutioner att ta bort all SolarWinds Orion-aktivitet på grund av de pågående farorna för den nationella säkerheten.
FireEye rapporterar att en cyberangripare använde SolarWinds uppdateringskedja som vapen och därefter gjorde intrång hos kunder över hela världen.
SolarWinds beskriver intrånget i deras Orion-plattform och tillhandahåller metoder för sina kunder att försvara sina nätverk. Microsoft gör också ett uttalande om konsekvenserna av SolarWinds hack för deras kundbas.
Reuters offentliggör SolarWinds-historien med Ryssland som huvudmisstänkt och den obestämda omfattningen av attacken mot USA:s federala regering.
15 december
Senaten begär att FBI och CISA undersöker SolarWinds-frågan och lämna mer information om cyberattacken mot regeringen till kongressen.
En programkorrigering tillhandahålls av SolarWinds; de förmedlar ytterligare information om attacken.
Journalister publicerar information om att Homeland Security, NIH, DHS och andra har utsatts för brott.
16 december
Cybersäkerhetsgruppen fastställer den domän som används av cyberattackerna tillsammans med en kill switch för att avaktivera SUNBURST-koden.
FBI inleder sin undersökning av bakgrunden till angreppet för att minska risken för framtida angrepp.
New York Times förklarar risken för vår nations säkerhet.
SolarWinds förklarar att deras managed service provider-verktyg inte komprometterades, men att åtgärder vidtogs för att förhindra ytterligare intrång, eftersom alla partners underrättades om att återställa sina digitalt signerade certifikat när SolarWinds återkallade gamla referenser.
17 december
Microsofts infosec-team meddelar att deras orion-programvara har äventyrats, men att risken har eliminerats. De rapporterar att deras system inte verkar ha äventyrats.
19 december
Enligt uppgifter från media och cybersäkerhetsanalytiker har försvaret hos cirka 200 företag och institutioner äventyrats.
22 december
Fler säkerhetsuppdateringar från SolarWinds blir tillgängliga.
Julafton
SolarWinds förklarar hur de senaste säkerhetsuppdateringarna och korrigeringarna hanterar Orion Supernova-attacken.
30 december
Myndigheten för cybersäkerhet och infrastruktur instruerar de andra regeringsdepartementen att uppdatera sin Orion-programvara till uppdateringsversionen 2020.2.1HF2.
2021: SolarWinds efterdyningar
5 januari
5 januari
6 januari
En reporter på NYT skriver att JetBrians TeamCity CI/CD-plattform kan vara inblandad i den ryska cyberattacken. TeamCity-servern hjälper utvecklare att bygga färdig programvara, varav en är SolarWinds programvara.
JetBrians VD förnekar att någon utredning har inletts och hävdar att användarfel och felkonfigurering mycket väl kan ha lett till ett intrång.
SolarWinds tar in sin tidigare VD som interimskonsult för att hantera konsekvenserna av attacken.
8 januari
SolarWinds utökar PR-insatserna för att mildra motreaktionen, säger att de kommer att fördjupa cybersäkerhetsresurserna och utöka insatserna. SolarWinds tar in infosec-konsulter som tidigare arbetat för Facebook och CISA.
11 januari
Kaspersky jämför SolarWinds-attacken med tidigare aktiviteter av den ryska säkerhetstjänstens medbrottsling inom cyberkrigföring, Turla-gruppen.
Crowdstrike beskriver hur de ryska angriparna använde ett verktyg som heter SUNSPOT för att angripa SolarWinds-system och skapa sin SUNBURST-bakdörr.
SolarWinds anställer fler InfoSec-teammedlemmar och ytterligare information om attacken offentliggörs.
SolarWinds: Framtida konsekvenser för datasäkerhet och InfoSec-branschen.
Det har inte förekommit en så uppmärksammad cyberattack som SolarWinds-intrånget på många år (som vi känner till).
Även om vi kanske aldrig kommer att få veta hela omfattningen av hur attacken genomfördes, verkar konsensus vara att detta var en mångfacetterad attack i försörjningskedjan. CI/CD-serverinfiltration i programvaran för solarwinds -> åtkomst till uppdatering av programvara -> åtkomst till Orion-plattformen för klienter -> manuellt infiltrera klientnätverken.
Federala regeringar komprometterades. Företag över hela världen komprometterades. För att förhindra framtida attacker behöver vi bättre kommunikation mellan cybersäkerhetsteamen. Genom att dela med oss av aktuell hotinformation kan vi förhindra att attacker som denna eskalerar.
Attacker mot leveranskedjan kommer inte att försvinna. Programvara från tredje part är lätt att manipulera för att infiltrera de applikationer som de kopplas till. Det är också mindre rutinmässigt undersökt och beaktat än intern programvara. Som en följd av detta kommer företagen säkerligen att stärka försvaret mot tredjepartsleverantörers åtkomst. Det återstår att se om detta kommer att räcka för att förhindra liknande attacker.
JetBrains har visserligen inte formellt pekats ut som en av attackvektorerna, men det faktum att de inte kan uteslutas understryker vikten av att skydda utvecklingsmiljön för programvara. SAST-, DAST- och SCA-verktygen för säkerhetstestning kommer att utökas och bli mer allmänt förekommande för att kväva risker i sin linda innan de kan bli ett större problem.
Som hypersegmentering och noll förtroende implementeras måste teamen anpassa sig till de nya restriktionerna och hitta nya sätt att upprätthålla driften och kommunikationen inom nätverket.
Slutligen är det viktigt att upprätthålla en säker IT-livscykel för att skydda fysiska datalagringsmedia från dataläckage. När vi har hjälpt våra ITAD-kunder har vi hittat och säkrat många inloggningar och digitala certifikat på oskyldiga medier som flashminnen som lämnats kvar i servrar av misstag. Kontakta oss för en kostnadsfri offert för att skydda ditt varumärke och återvinna kapital från dina IT-tillgångar.