A BleepingComputer összegyűjtötte azokat a 2020-as kiberbiztonsági híreket, amelynek a lista élére az 2020 év végén nagy publicitást kapott SolarWinds-botrány került. Ennek során rosszindulatú közreműködők hátsó ajtókat (backdoors) telepítettek kormányzati (pl. Amerikai Belbiztonsági Minisztérium, Egyesült Államok Pénzügyminisztériuma, Egyesült Amerikai Energiaügyi Minisztérium, Amerikai Nemzeti Nukleáris Biztonsági Igazgatóság) és más vállalatok (pl. FireEye, Microsoft, VMware, Cisco) rendszereibe.
Állami támogatású hackerek az utóbbi évek legnagyobb volumenű kiberkémkedési akcióját hajtották végre, amely soránhátsó ajtókat (backdoor) telepítettek - többek közt - egyesült államokbeli hivatalok rendszereibe a több, mint 300 000 ügyféllel rendelkező SolarWinds cég egyes termékein keresztül.
Arról még nem jelentek meg hiteles információk, hogy a támadási kampány milyen kiterjedt volt, és még az sem tisztázott, hogy a később nyilvánosságra hozott FireEye elleni kibertámadás is ehhez a művelethez köthető-e, azonban feltehetően mindkét eset hátterében állami támogatású hackercsoportot sejtenek, mint például az orosz APT29 (Cozy Bear).
A kivizsgálás jelen szakaszában annyi tudható, hogy a támadás a SolarWinds Orion Platform egy sérülékenységének kihasználásával az ellátási láncon keresztül történt (supply chain attack): a támadók a backdoort (SUNBURST) egy hitelesített plug-inbe rejtették, amit frissítésként juttattak a célrendszerekre.
A támadás során kihasznált sérülékenységet a SolarWinds biztonsági közleménye szerint az Orion Platform 2020.2.1 HF 1-es verziójában megszüntette, és már dolgozik egy újabb javításon is (HF 2), amely teljes egészében helyettesíti a kompromittált komponenst.
A SolarWinds meghekkelésével a szoftveres ellátási láncot érte támadás. Az ilyen jellegű támadásokat nehezebb észrevétlenül kivitelezni, cserébe nem egyesével kell belépési pontot találni minden célpont hálózatára, hanem egy sokak által használt szoftvert megfertőzve lehet bejutni mindegyikükhöz. Egy korábban az NSA-nél dolgozó biztonsági szakértő szerint a SolarWinds azért is vonzó célpont, mert a szoftvere a jellegéből adódóan magas szintű jogosultságokat kap, így a támadók egyetlen belépési ponton nagyon mélyre tudnak hatolni az áldozatok hálózati infrastruktúrájában.
A globális gazdaság és információáramlás a kölcsönös bizalomra épül, ez azonban kiszolgáltatottsággal is jár. Az ilyen típusú támadások nemcsak a kiterjedt hatásuk miatt különösen veszélyesek, hanem azért is, mert alapjaiban rengetik meg ezt a bizalmat a teljes ellátási láncban, ahol arányaiban egészen kis láncszemek kompromittálása is egészen nagy galibát tud okozni.
A mostani eset két szempontból is hasonlít a NotPetya zsarolóvíruséhoz, amely 2017 júniusában söpört végig a világon. Akkor is az ellátási láncon keresztül tudták a támadók elterjeszteni a kártevőjüket: egy ukrán cég által fejlesztett, MeDoc nevű könyvelőprogram frissítési mechanizmusába férkőztek be a feltételezések szerint szintén orosz hekkerek.
A másik hasonlóság, hogy abban a támadásban is szerepelt ellopott kiberfegyver, mint most a FireEye esetében: az NSA a saját céljaira fejlesztett ki egy EternalBlue nevű exploitot (sebezhetőség kihasználására alkalmas kódot), de 2016-ban meghekkelték őket, és a támadók közzétették az interneten az ellopott eszközt. Egy évvel később mindkét pusztító zsarolóvírus, a WannaCry és a NotPetya is az EternalBlue segítségével jutott be az áldozatok hálózatára. A Microsoft már hónapokkal korábban kiadta a javítást a hibára, amelyet az EternalBlue kihasznált, ezt azonban sokan nem telepítették, így még jóval később is védtelenek voltak a támadással szemben.
A FireEye eszközei is visszaköszönhetnek még a jövőben, éppen ezért a cég rögtön ki is adta a tudnivalókat a kivédésükhöz. Az eset érdekessége, hogy a SolarWinds-támadást elkerülhették azok, akik 2020. március óta nem frissítették az Oriont. Ennek ellenére fontos hangsúlyozni, hogy általánosságban a kibertámadások távoltartásának egyik legfontosabb lépése a programok karbantartása. A SolarWinds-támadás - ahogy minden kibertámadás - tanulsága is az, hogy a rendszereinket naprakészen kell tartani.
FORRÁSOK:
- A 2020-as év legérdekesebb kiberbiztonsági eseményei
- Az utóbbi évek legnagyobb volumenű kiberkémkedési műveletére derült fény
- APT csoport hackelhette meg a Fireeye-t
- Hogyan léphet túl az USA SolarWinds sokkon?
- Jéghegy, amelynek kiterjedését még megbecsülni sem lehet
- Minden idők egyik legsúlyosabb kibertámadása rázza meg Amerikát