Spionii din reteaua de aprovizionare

Nu toate incidentele de securitate seamana intre ele. Nu toate incidentele sunt in atenția managementului companiei. Dar în toamna anului 2020  un CEO a fost mai atent. Firma de securitate cibernetică FireEye a primit prin intermediul sistemelor sale interne o notificare că un angajat a înregistrat un al doilea dispozitiv pentru a accesa rețelele corporative.

Părea ciudat. Așadar, CEO-ul Kevin Mandia a fost informat și echipa de securitate a intrebat angajatul dacă a înregistrat un dispozitiv alternativ pentru a accesa rețeaua de lucru. El a spus că nu, iar FireEye a lansat o investigație – descoperind că altcineva a ocolit sistemul de autentificare cu doi factori FireEye pentru a înregistra dispozitivul, pentru a obține acces la sistemele FireEye și pentru a lua decizii cu instrumentele Red Team ale companiei.

Dar cum a intrat hackerul? Pentru a afla, FireEye a efectuat o analiză detaliată a sistemelor sale și a identificat că primul compromis a avut loc în primăvara anului 2020 de la un sistem conectat la software-ul de afaceri Orion, un produs pe care îl achiziționase de la firma SolarWinds, a declarat Mandia într-un briefing al Aspen Institute.

FireEye a decis în cele din urmă să inverseze software-ul SolarWinds și a descoperit că Orion în sine fusese compromis. Hackerii s-au infiltrat în lanțul de aprovizionare cu software-ul, compromitând sistemul SolarWinds pentru a avea acces ascuns la sistemele clienților săi.

„După o perioadă inițială inactivă de până la două săptămâni, (perioada de atac) recuperează și execută comenzi, numite„ Joburi ”, care includ capacitatea de a transfera fișiere, de a executa fișiere, de a profila sistemul, de a reporni mașina și de a dezactiva serviciile de sistem. ”, Potrivit blogului FireEye despre breșă. „Programul malware își maschează traficul de rețea ca protocol Orion Improvement Program (OIP) și stochează rezultatele recunoașterii în fișiere legitime de configurare a pluginului, permițându-i să se integreze cu activitatea legitimă SolarWinds. Backdoor-ul folosește mai multe liste de blocuri obscurizate pentru a identifica instrumentele criminalistice și antivirus care rulează ca procese, servicii și drivere. ”

Și FireEye nu a fost singurul client cu profil înalt al SolarWinds. De asemenea, a făcut afaceri cu numeroase departamente și agenții ale guvernului federal american, firme de telecomunicații, companii Fortune 500 și multe altele.

Decizia FireEye de a face public incidentul a declanșat agitatie în rândul altor clienți SolarWinds si au procedat la verificari pentru a determina dacă și ei au fost compromisi. Agenția americană de securitate cibernetică și securitate a infrastructurii (CISA), care face parte din Departamentul de securitate internă al SUA, a emis o directivă de urgență prin care se solicită agențiilor guvernamentale americane să ia o varietate de acțiuni, inclusiv deconectarea sau alimentarea produselor SolarWinds Orion în rețelele lor.

„SolarWinds este atât de răspândit încât este aproape ca ceea ce este Kleenex pentru țesuturi”, a spus Jake Williams, analist și instructor principal la SANS Institute, precum și fondator al Rendition InfoSec, într-un webinar SANS organizat la scurt timp după dezvăluire. „Sunt unul dintre, dacă nu chiar sistemul de facto de gestionare a rețelei cu 300.000 de clienți plus.”

Poziția SolarWinds ca sistem de gestionare a rețelei (NMS) a făcut-o o țintă profitabilă pentru infiltrarea în alte rețele, deoarece putea comunica cu dispozitivele pe care le gestiona sau le monitoriza în rețelele clienților, a explicat Williams.

Sofisticarea infiltrației a făcut, de asemenea, aproape imposibilă detectarea clienților și a fost opera unui vector de amenințare cu „resurse, răbdare și expertiză pentru a obține acces și privilegii față de informațiile extrem de sensibile dacă nu sunt verificate”, a spus CISA într-un afirmație.

Alaturi de FBI s-au alaturat si Biroul Directorului Informațiilor Naționale și Agenția Naționale de Securitate (NSA) într-un grup de lucru numit Grupul de coordonare cibernetică unificată pentru a investiga și remedia incidentul. Într-o declarație , grupul de lucru a atribuit încălcarea SolarWinds Rusiei ca parte a unui efort de colectare a informațiilor care afectează aproximativ 18.000 de clienți din sectorul public și privat SolarWinds, inclusiv mai multe agenții guvernamentale din SUA.

Rusia a negat orice implicare în încălcarea SolarWinds și infiltrarea ulterioară a rețelelor guvernamentale și corporative. Într-un interviu acordat agenției de știri ruse TASS, purtătorul de cuvânt al Kremlinului, Dmitri Peskov, a declarat că „orice acuzație de implicare a Rusiei este absolut lipsită de temei, este mai probabil să fie o continuare a rusofobiei oarbe la care se recurge în caz de incident”.

În timp ce preocupările inițiale au arătat varianta ca hackerii să își folosească accesul pentru a perturba rețelele victimelor lor, mulți functionari din guvernul SUA l-au numit un act de spionaj pentru a continua eforturile de colectare a informațiilor.

Vorbind într-un forum al Aspen Institute în ianuarie 2021, senatorul american Mark Warner (D-VA), noul președinte al Comitetului de informații al Senatului SUA, a declarat că americanii trebuie să fie preocupați de capacitatea unui vector de stat de a pătrunde în guvern și în privat, in rețele sectoriale.

Warner a adăugat, de asemenea, că intruziunea stimulează conversația cu privire la faptul dacă se afla „în limitele spionajului acceptabil? Țările se spionează reciproc, dar volumul și nivelul din punct de vedere al entităților guvernamentale și al întreprinderilor din sectorul privat … ar trebui să fie alarmante pentru noi.”

În timp ce domeniul de aplicare al infiltrației SolarWinds poate fi unic, numărul atacurilor cibernetice de spionaj este în creștere, spune John Grim, senior manager al anchetei de la Verizon și autor principal al Raportului inaugural Verizon Cyber-Espionage Report publicat în toamna anului 2020 Raportul a analizat datele colectate pentru Raportul anual al anchetelor privind încălcarea datelor (DBIR) de la Verizon, pentru a evalua starea ciberspionajului pe glob și în sectoarele public și privat.

Analiza a constatat că, în general, educația, finanțele, informațiile, producția, mineritul și utilitățile și sectoarele publice au fost cele mai afectate de spionajul cibernetic. Vectorii de amenințare – majoritatea (85 la sută) asociați cu un stat național – au reușit, de asemenea, să-și compromită țintele în câteva secunde până la câteva zile, printr-o varietate de tehnici, cum ar fi backdoors (91 la sută), phishing (90 la sută), downloaders (89 la sută) și altele. Și odată intrați, actorii de amenințări vor astepta – adesea luni întregi, așa cum se vede în concluziile SolarWinds al FireEye – pentru a exfiltra date de la victimele lor și pentru a detecta riscurile.

„În lumea reală – prin extensie, lumea cibernetică – descoperirea incidentelor este o provocare. Acești vectori de amenințare urmăresc date care sunt sensibile și brevetate”, spune Grim, adăugând că multe încălcări de succes ale spionajului cibernetic nu sunt raportate deoarece pot rămâne nedetectate sau nu ar trebui să fie divulgate deoarece nu au compromis informațiile de identificare personală.

Vectorii de amenințare care se angajează în spionaj actioneaza clandestin sau folosind instrumentele din mediul de rețea, cum ar fi drepturile administrative IT, explică Grim.

Pentru a ajuta la abordarea numărului în creștere – și a severității potențiale – a intruziunilor cibernetice-spionaj, Warner a pledat pentru o contabilitate a incidentelor și stabilirea unor proceduri. El a lăudat Mandia lui FireEye pentru angajamentul său de a dezvălui încălcarea și de a oferi detalii care să ajute specialistii de securitate să își protejeze mai bine sistemele. Dar Warner a avertizat că nu a fost suficient să se bazeze pe „bunăvoința și patriotismul” directorilor executivi – sunt necesare reguli și politici pentru a avea succes.

Tot la tribuna Institutului Aspen, Katie Moussouris, fondator și CEO al Luta Security, a adăugat că, deși este populară ideea de a crea norme de securitate cibernetică pentru spionaj și arme, cei implicați ezită să ia decizii in acest sens.

„Prin ideea de a stabili norme mi se pare că ne aflăm în declinul Imperiului Roman digital și încercăm să le spunem oamenilor că nu este în regulă să folosim elefanți pentru a traversa Alpii”, spune ea. „Între timp, adversarul folosește elefanții pentru a traversa Alpii și vom fi surclasati”.

Moussouris a mai spus că, în loc să se concentreze pe limitarea utilizării unei tehnologii specifice sau dezvoltarea unei arme, orice reglementări și norme ar trebui să se concentreze asupra comportamentelor și scenariilor de caz de utilizare.

„Nu tehnologia trebuie să fie în conformitate cu aceste norme, ci comportamentul pe care trebuie să-l adoptăm pentru a păstra ordinea mondială în general”, a adăugat ea.

Între timp, există acțiuni pe care practicienii de securitate le pot întreprinde pentru a limita amenințarea și a-și spori capacitatea de a detecta intrușii în sistemele lor. Acest lucru începe, spune Grim, prin evaluarea celor mai valoroase date, a garanțiilor care înconjoară aceste date și a instrumentelor și persoanelor cu acces la aceste date.

Grim recomandă, de asemenea, verificarea entităților terțe și stabilirea unor acorduri scrise cu privire la dispozițiile de securitate aferente acestor părți.

„Monitorizați accesul acestora în mediul dvs. și, cel puțin anual, examinați acordurile scrise”, spune el. „Așadar, atunci când intrăm mai mult în aplicațiile care pot fi furnizate de o entitate externă, ne asigurăm că își îndeplinesc obligațiile”.

Williams a făcut sugestii similare în seminarul web SANS, adăugând că aceste tipuri de intruziuni sunt extrem de dificil de detectat și, uneori, cel mai bun mod de acțiune este de a avea un plan de răspuns robust.

Pentru organizațiile compromise de hack-ul SolarWinds, „sunt dispus să spun că, dacă nu fac pagube în mediul dvs., acest lucru nu este ceva pe care majoritatea dintre noi îl vom detecta”, a spus Williams. „Dacă aș folosi SolarWinds, aș fi fost și eu compromis”.

Articol preluat de pe ASISOnline