Sunburst:  Această serie de atacuri a fost inițiată de ceea ce se crede acum că sunt hackeri ruși care au reușit să încorporeze o portiţă de intrare în actualizările de software ale SolarWinds.

Peste 18.000 de companii și organizații guvernamentale și-au actualizat software-ul de rețea SolarWinds.

Descărcând ceea ce părea o actualizare regulată a software-ului pe computerele lor, din păcate, nu era altceva decât un cal troian.

Noua ameninţare a fost identificată după ce, pe data de 13 decembrie 2020, FireEye, Microsoft şi SolarWinds au anunţat descoperirea unui atac cibernetic sofisticat asupra lanţului de aprovizionare.

Ce este un atac în lanțul de aprovizionare?

Aceste tipuri de atacuri sunt extrem de greu de protejat. Trebuie să punem multă încredere în programele de securitate cibernetică ale companiilor de la care achiziționăm produse sau servicii.

Majoritatea acestor companii nu doresc să împărtășească niciun detaliu despre modul în care funcționează programele lor interne de securitate cibernetică. Unii dintre ei vor obține un raport SOC2, dar chiar și aceștia sunt distribuiți cu prudență datorită detaliilor conținute.

Asemănări la nivel de cod între Sunburst şi versiunile cunoscute ale backdoor-urilor Kazuar

„În timp ce studiau backdoor-ul Sunburst, experţii Kaspersky au descoperit o serie de caracteristici similare cu cele ale unui Kazuar identificat anterior, un backdoor scris folosind reţeaua NET, raportat pentru prima dată de Palo Alto în 2017 şi utilizat în atacurile cibernetice de spionaj din întreaga lume.

Multiple similitudini la nivel de cod sugerează o legătură între Kazuar şi Sunburst, deşi natura acesteia este, încă, nedeterminată. Similitudinile dintre Sunburst şi Kazuar includ algoritmul de generare UID al victimei, algoritmul de inactivitate (sleeping algorithm) şi utilizarea extinsă a hash-ului FNV-1a”, mai spun specialiştii în doemniu.

Între Sunburst şi Kazuar există o legătură, dar natura acestei relaţii nu este încă clară

„Legătura identificată nu scoate la iveală cine a fost în spatele atacului SolarWinds, însă oferă mai multe informaţii care pot ajuta cercetătorii să avanseze în această investigaţie. Considerăm că este important ca şi alţi cercetători din întreaga lume să investigheze aceste asemănări. Și să încerce să descopere mai multe informaţii despre Kazuar şi originea Sunburst, malware-ul folosit în breşa SolarWinds.

Din experienţa trecută, de exemplu analizând atacul WannaCry, ştim că în primele zile au existat foarte puţine indicii care să îl lege de grupul Lazarus. În timp, însă, au apărut tot mai multe dovezi care ne-au permis să facem legătura între grup şi atac cu mai mare încredere. Cercetările suplimentare pe această temă sunt cruciale pentru a pune cap la cap informaţiile”, a declarat Costin Raiu, directorul echipei globale de cercetare şi analiză Great a Kaspersky, pentru Agerpes.

Cum Instrumentul Orion a oferit atacatorilor acces la date sensibile

O companie populară de software de gestionare a rețelei, numită SolarWinds, a fost vizată, iar atacatorii au reușit să obțină suficient acces pentru a insera un cod în versiunile software multiple de distribuție ale produsului Orion pe parcursul mai multor luni.

Codul neautorizat a fost apoi implementat în rețelele clienților, oferind atacatorilor un mecanism de comandă și control în zeci de mii de rețele noi.

Deoarece acest software este utilizat în administrarea rețelei, este foarte probabil ca rețelele de clienți să ofere instrumentului Orion privilegii administrative foarte mari, care au fost apoi extinse atacatorilor.

Mai exact, rezultatele anchetei efectuate de Microsoft au sugerat că „atacatorii au inserat un cod rău intenționat în SolarWinds. Orion.Core. Business Layer.dll , o bibliotecă de coduri aparținând Platformei SolarWinds Orion, relata atunci secureops.