În luna decembrie 2020 a fost descoperit un nou tip de atac de securitate cibernetică executat de către un infractor necunoscut, şi anume introducerea unui malware sub forma unui modul .NET în software-ul IT SolarWinds Orion. Microsoft, FireEye şi GoDaddy s-au sesizat imediat şi au întreprins măsuri de remediere rapidă a atacului. Potrivit FireEye, atacul a început încă din martie anul 2020 şi este încă în desfăşurare, ţinta principală fiind domeniul comerţului şi aprovizionării.
Cum funcționează atacul
Specialiștii au analizat mai multe mostre SUNBURST, care furnizau payload-uri diferite. În cel puțin un caz, pentru lansarea Cobalt Strike BEACON atacatorii au folosit un memory-only dropper care nu a mai fost observat până acum. Dropper-ul a fost denumit ulterior TEARDROP. TEARDROP este un memory-only dropper care rulează ca serviciu, creează un thread și accesează fișierul „gracious_truth.jpg”, care probabil are un header JPG fals. Ulterior, acesta verifică dacă există HKU\SOFTWARE\Microsoft\CTF, apoi decodează un payload integrat, prin utilizarea unui algoritm XOR care rulează și încarcă manual în memorie payload-ul integrat ce utilizează un fișier modificat de tipul PE. TEARDROP nu utilizează cod identficat până acum în altă variantă de malware. Este posibil să fi fost utilizată exclusiv pentru executarea unui Cobalt Strike BEACON modificat.
Acest malware permite unui atacator să aibă acces la sistemele de gestionare a traficului de rețea, acces neautorizat către diverse date restricţionate.
Agenţia pentru Securitate Cibernetică şi Infrastructură (CISA), principalul organ de consultanţă al S.U.A. în domeniul securităţii cibernetice, a elaborat un raport detaliat privind atacul recent care a afectat mai multe agenţii guvernamentale americane, entităţile din infrastructura critică, precum şi organizaţii din sectorul privat. Conform analizelor efectuate, atacatorul a adăugat o versiune malware solarwinds.orion.core.businesslayer.dll în ciclul de viaţă al software-ului SolarWinds, care a fost apoi semnat printr-un certificat de semnare a codului SolarWinds. Odată instalat, acesta apelează la domeniul avsvmcloud.com utilizând un protocol conceput pentru a imita traficul legitim al protocolului SolarWinds. Printre mesajele cheie, CISA menţionează:
Acest tip de atac are caracteristici deosebit de unice şi
a fost descoperit sub denumirile de SUNBURT şi Solorigate, atacatorii având denumiri diverse, precum: UNC2452, Dark Halo, SolarStorm, APT 29 / Cozy Bear.
Dispozitivele care au un potenţial ridicat de infectare
sunt:
Platforma SolarWinds Orion
•2019.4 HF5, version 2019.4.5200.9083
•2020.2 RC1, version 2020.2.100.12219
•2020.2 RC2, version 2020.2.5200.12394
•2020.2, 2020.2 HF1, version 2020.2.5300.1243
Produsele platformei SolarWinds Orion
•Application Centric Monitor (ACM)
•Database Performance Analyzer
•Integration Module* (DPAIM*)
•Enterprise Operations Console (EOC)
•High Availability (HA)
•IP Address Manager (IPAM)
•Log Analyzer (LA)
•Network Automation Manager (NAM)
•Network Configuration Manager (NCM)
•Network Operations Manager (NOM)
•User Device Tracker (UDT)
•Network Performance Monitor (NPM)
•NetFlow Traffic Analyzer (NTA)
•Server & Application Monitor (SAM)
•Server Configuration Monitor (SCM)
•Storage Resource Monitor (SRM)
•Virtualization Manager (VMAN)
•VoIP & Network Quality Manager
•Web Performance Monitor (WPM)
Un prim pas pentru identificarea prezenţei activităţii suspecte este analiza traficului de reţea, a incidentelor care afectează serverele şi computerele (fişiere modificate, procese activate, modificări de sistem etc.).
Remediere
Orange Moldova CERT recomandă trei acţiuni principale
necesare de a fi întreprinse în mod urgent:
1. Analiza detaliată a conturilor noilor utilizatori şi a utilizatorilor
privilegiaţi ai platformei SolarWinds Onion.
2. Actualizarea cât mai curând posibilă a platformei SolarWinds Orion la cea mai nouă versiune, conform recomandărilor SolarWinds.
3. Verificarea istoricului interogărilor pentru a vedea dacă au existat interogări DNS către domeniul avsvmcloud.com.
Echipa Orange Moldova CERT vă pune la dispoziție o listă de resurse publice despre cum funcționează acest tip de atac - pentru a vă asigura că organizația dumneavoastră nu mai este afectată de acest backdoor dezvăluit recent: