~ 18.000 organizzazioni hanno scaricato backdoor piantate dagli hacker di Cozy Bear

53

Circa 18.000 organizzazioni in tutto il mondo hanno scaricato strumenti di gestione della rete che contenevano una backdoor utilizzata da uno stato nazionale per installare malware nelle organizzazioni che utilizzavano il software, ha detto lunedì il fornitore di strumenti, SolarWinds.

La divulgazione da SolarWinds di Austin, in Texas, è arrivata il giorno dopo che il governo degli Stati Uniti ha rivelato una grave violazione della sicurezza che ha colpito agenzie federali e società private. I dipartimenti del Ministero del Tesoro, del Commercio e della Sicurezza Interna degli Stati Uniti erano tra le agenzie federali che ricevevano attacchi di hacking che davano accesso alla posta elettronica e ad altre risorse sensibili, secondo Reuters. Domenica, le agenzie federali che utilizzano il software sono state incaricate di disconnettere i sistemi che eseguono il software ed eseguire un'analisi forense delle loro reti.

La società di sicurezza FireEye, che la scorsa settimana ha rivelato una grave violazione della propria rete, ha affermato che gli hacker sostenuti da uno stato nazionale hanno compromesso un meccanismo di aggiornamento del software SolarWinds e poi lo hanno utilizzato per infettare clienti selezionati che hanno installato una versione backdoor della gestione della rete Orion dell'azienda. attrezzo.

La backdoor ha infettato i clienti che hanno installato un aggiornamento da marzo a giugno di quest'anno, ha detto SolarWinds in un documento presentato lunedì alla Securities and Exchange Commission. L'impianto "è stato introdotto come risultato di una compromissione del sistema di compilazione del software Orion e non era presente nel repository del codice sorgente dei prodotti Orion", ha detto il deposito di lunedì. SolarWinds, che ha dichiarato di avere circa 300.000 clienti Orion, ha valutato il numero di clienti interessati a circa 18.000.

Rubare le chiavi principali

Diversi fattori hanno reso Orion un trampolino di lancio ideale nelle reti ambite dagli hacker sostenuti dalla Russia, che negli ultimi dieci anni sono diventati una delle minacce più formidabili alla sicurezza informatica degli Stati Uniti. Mike Chapple, professore di informatica, analisi e operazioni presso l'Università di Notre Dame, ha affermato che lo strumento è ampiamente utilizzato per gestire router, switch e altri dispositivi di rete all'interno di grandi organizzazioni. Il livello di accesso privilegiato unito al numero di reti esposte hanno reso Orion lo strumento perfetto da sfruttare per gli hacker.

"SolarWinds per sua natura ha un accesso molto privilegiato ad altre parti della vostra infrastruttura", ha detto in un'intervista Chapple, un ex scienziato informatico presso la National Security Agency. "Puoi pensare a SolarWinds come se avesse le chiavi principali della tua rete e, se sei in grado di compromettere quel tipo di strumento, puoi utilizzare quei tipi di chiavi per ottenere l'accesso ad altre parti della rete. Compromettendolo, hai una chiave fondamentalmente per sbloccare l'infrastruttura di rete di un gran numero di organizzazioni ".

Annuncio pubblicitario

Gli hack fanno parte di ciò che il governo federale e funzionari di FireEye, Microsoft e altre società private hanno affermato essere una diffusa campagna di spionaggio che un sofisticato attore di minacce stava portando avanti attraverso un attacco alla catena di approvvigionamento.

Nel post sul blog FireEye pubblicato domenica sera, la società ha affermato di aver scoperto una campagna di intrusione globale che utilizzava il meccanismo di aggiornamento backdoor di SolarWinds come ingresso iniziale "nelle reti di organizzazioni pubbliche e private attraverso la catena di fornitura del software". Pubblicazioni – tra cui The Washington Post e The New York Times – citano funzionari governativi anonimi che affermano che Cozy Bear, un gruppo di hacker che si ritiene faccia parte del Servizio di sicurezza federale russo (FSB), era dietro i compromessi.

"Sulla base della nostra analisi, abbiamo ora identificato più organizzazioni in cui vediamo indicazioni di compromissione risalenti alla primavera del 2020, e siamo in procinto di notificare quelle organizzazioni", hanno scritto i funzionari di FireEye. “La nostra analisi indica che questi compromessi non si propagano da soli; ciascuno degli attacchi richiede una pianificazione meticolosa e un'interazione manuale. La nostra indagine in corso ha scoperto questa campagna e stiamo condividendo queste informazioni coerentemente con la nostra pratica standard ".

In un post separato pubblicato anche domenica sera, FireEye ha aggiunto: “FireEye ha scoperto una campagna diffusa, che stiamo monitorando come UNC2452. Gli attori dietro questa campagna hanno avuto accesso a numerose organizzazioni pubbliche e private in tutto il mondo. Hanno avuto accesso alle vittime tramite aggiornamenti trojan del software di monitoraggio e gestione IT Orion di SolarWind. Questa campagna potrebbe essere iniziata già nella primavera del 2020 ed è attualmente in corso. L'attività post compromesso a seguito di questa compromissione della catena di fornitura ha incluso movimenti laterali e furto di dati. La campagna è opera di un attore altamente qualificato e l'operazione è stata condotta con notevole sicurezza operativa ".

FireEye ha continuato affermando che un componente con firma digitale del framework Orion conteneva una backdoor che comunica con i server controllati dagli hacker. La backdoor, inserita nel file della libreria di collegamento dinamico di Windows SolarWinds.Orion.Core.BusinessLayer.dll, è stata scritta per rimanere nascosta, rimanendo inattiva per un paio di settimane e poi fondendosi con il legittimo traffico dati di SolarWinds. I ricercatori di FireEye hanno scritto:

Il file di aggiornamento trojan è un file patch standard di Windows Installer che include risorse compresse associate all'aggiornamento, incluso il componente SolarWinds.Orion.Core.BusinessLayer.dll trojanizzato. Una volta installato l'aggiornamento, la DLL dannosa verrà caricata da SolarWinds.BusinessLayerHost.exe o SolarWinds.BusinessLayerHostx64.exe legittimi (a seconda della configurazione del sistema). Dopo un periodo di inattività fino a due settimane, il malware tenterà di risolvere un sottodominio di avsvmcloud[.]com. La risposta DNS restituirà un record CNAME che punta a un dominio Command and Control (C2). Il traffico C2 verso i domini dannosi è progettato per imitare le normali comunicazioni API di SolarWinds. L'elenco delle infrastrutture dannose note è disponibile sulla pagina GitHub di FireEye.

Scavando ulteriormente

La backdoor di Orion, che FireEye chiama Sunburst e Microsoft chiama Solorigate, ha fornito agli hacker l'accesso limitato ma cruciale ai dispositivi di rete interni. Gli hacker hanno quindi utilizzato altre tecniche per scavare ulteriormente. Secondo Microsoft, gli hacker hanno quindi rubato i certificati di firma che consentivano loro di impersonare uno qualsiasi degli utenti e account esistenti di un obiettivo tramite il Security Assertion Markup Language. Tipicamente abbreviato in SAML, il linguaggio basato su XML fornisce ai provider di identità un modo per scambiare dati di autenticazione e autorizzazione con i provider di servizi.

Annuncio pubblicitario

L'avviso di Microsoft ha dichiarato:

  • Un'intrusione tramite codice dannoso nel prodotto SolarWinds Orion. Ciò fa sì che l'attaccante acquisisca un punto d'appoggio nella rete, che può utilizzare per ottenere credenziali elevate. Microsoft Defender ora dispone di rilevamenti per questi file. Inoltre, vedere SolarWinds Security Advisory.
  • Un intruso che utilizza autorizzazioni amministrative acquisite tramite una compromissione locale per ottenere l'accesso al certificato di firma del token SAML attendibile di un'organizzazione. Ciò consente loro di falsificare i token SAML che impersonano qualsiasi utente e account esistente dell'organizzazione, inclusi gli account con privilegi elevati.
  • Accessi anomali che utilizzano i token SAML creati da un certificato di firma del token compromesso, che può essere utilizzato contro qualsiasi risorsa locale (indipendentemente dal sistema di identità o dal fornitore) e da qualsiasi ambiente cloud (indipendentemente dal fornitore) perché sono stati configurati fidarsi del certificato. Poiché i token SAML sono firmati con il proprio certificato attendibile, le anomalie potrebbero non essere rilevate dall'organizzazione.
  • Utilizzando account altamente privilegiati acquisiti tramite la tecnica di cui sopra o altri mezzi, gli aggressori possono aggiungere le proprie credenziali alle entità del servizio dell'applicazione esistenti, consentendo loro di chiamare le API con l'autorizzazione assegnata a tale applicazione.

Gli attacchi alla catena di approvvigionamento sono tra i più difficili da contrastare perché si basano su software già affidabile e ampiamente distribuito. La dichiarazione del lunedì mattina di SolarWinds suggerisce che gli hacker di Cozy Bear avevano la capacità di infettare le reti di circa 18.000 clienti dell'azienda. Non è ancora chiaro quanti di questi utenti idonei siano stati effettivamente violati.

La Cybersecurity Infrastructure and Infrastructure Security Agency del Department of Homeland Security ha emesso una direttiva di emergenza che istruisce le agenzie federali che utilizzano i prodotti SolarWinds per analizzare le loro reti alla ricerca di segni di compromissione. Il post di FireEye qui elenca una varietà di firme e altri indicatori che gli amministratori possono utilizzare per rilevare le infezioni.