Nowa Europa Wschodnia (logo/link)
Rosja / 18.01.2021
Bolesław Breczko

Atak na SolarWinds. Prawdopodobnie największy hack w historii

Atak na amerykańską firmę SolarWinds może być największym hackiem w historii. Zostało nim dotkniętych co najmniej 18 tys. Firm – w tym Microsoft – i administracja USA. Rzeczywista skala ataku, który jest przypisywany Rosji, pozostaje tajemnicą.
Foto tytułowe
(Shutterstock)

SolarWinds to amerykańska firma informatyczna oferująca usługi zarządzania i monitorowania sieci oraz procesów IT. Jeśli wewnętrzne sieci internetowe można nazwać szkieletem firm, to usługi SolarWinds są układem nerwowym: monitorują i kontrolują, co się dzieje z cyfrowym organizmem.

Jednym z produktów oferowanych przez firmę jest Orion. To platforma do zarządzania innymi aplikacjami SolarWinds takimi jak: monitoring sieci, aplikacji i serwerów, menedżer maszyn wirtualnych, analiza logów, monitoring i obsługa baz danych, śledzenie urządzeń, monitorowanie działania stron internetowych i wiele innych. Firma oferowała narzędzia do wszystkich aplikacji i urządzeń IT dostępnych na rynku.

W zeszłym roku nieznanej grupie hakerskiej udało się złamać zabezpieczenia Oriona i tym samym przejąć kontrolę nad sieciami, którymi zarządza. Celem padły amerykańskie ministerstwa oraz firmy. Atakujący szukali przede wszystkim informacji i wykradali maile najważniejszych osób. Chociaż atak udało się zneutralizować, to każdego dnia pojawiają się nowe informacje o spowodowanych szkodach.

Harmonogram wydarzeń

8 grudnia 2020 r. jeden z klientów SolarWinds, FireEye – firma zajmująca się cyberbezpieczeństwem – poinformowała, że padła ofiarą ataku hakerskiego. Następnego dnia prezes SolarWinds Kevin Thompson zrezygnował z funkcji po 11 latach na stanowisku.

13 grudnia CISA (Cybersecurity and Infrastructure Security Agency), amerykańska agencja rządowa powołana przez Donalda Trumpa, która ma monitorować bezpieczeństwo cybernetyczne USA, wszczęła alarm i poleciła odłączenie zainfekowanych systemów.

14 grudnia SolarWinds przyznała, że padła ofiarą ataku. Raport sporządzony dla Komisji Giełdy i Papierów Wartościowych stwierdza, że najprawdopodobniej został on przeprowadzony przez kraj trzeci, ale źródła nie udało się zidentyfikować. W wyniku ataku 18 tys. klientów SolarWinds zostało narażonych na ataki hakerskie. Firma natychmiast poleciła wszystkim klientom odłączenie platformy Orion. Jej akcje spadły o 23%. Wśród ofiar znalazły się m.in. departamenty Handlu, Skarbu, Stanu, Energii i Bezpieczeństwa Narodowego, Narodowy Instytut Zdrowia, Pentagon, stanowe i lokalne administracje, firmy Microsoft, Cisco, Intel i FireEye.

17 grudnia CISA wydała wstępny raport dotyczący ataku. Określiła go jako śmiertelne zagrożenie dla rządu federalnego i administracji na każdym szczeblu. W dokumencie pojawił się też wniosek, że całkowite pozbycie się atakującego z systemów będzie żmudne i złożone.

21 grudnia senator Ron Wyden z senackiej Komisji Finansów powiedział, że atakujący uzyskali dostęp do maili najważniejszych dyrektorów z Departamentu Skarbu. Dodał, że całkowita skala ataku nie jest znana.

5 stycznia 2021 r. amerykańskie agencje odpowiedzialne za bezpieczeństwo (CISA, FBI, Departament Sprawiedliwości i NSA) wydały oświadczenie, że ataku dokonała grupa APT prawdopodobnie pochodząca z Rosji.

APT (Advanced Persistant Threat) – stale działająca, zaawansowana grupa hakerska, zwykle powiązana z rządem obcego kraju.

Biblioteka dll – zbiór instrukcji, które są wykorzystywane przez programy komputerowe. Jedna biblioteka można być wykorzystywana przez różne programy, ale sama nim nie jest. Stosowanie bibliotek dll jest standardem w nowoczesnym oprogramowaniu. Pozwala ograniczyć pamięć i ułatwia wprowadzanie poprawek lub ulepszeń.
Jak doszło do ataku?

Od marca 2020 r. 18 tys. firm używających Oriona pobrało aktualizację systemu, która była zainfekowana malware’em Sunburst. Został on ukryty w bibliotece dll, która następnie została podpisana certyfikatem bezpieczeństwa przez SolarWinds. Atakujący dobrze ukryli swoją działalność i złośliwego kodu nie udało się wykryć. W ten sposób Sunburst mógł się niepostrzeżenie instalować na systemach ofiar bez ich wiedzy razem z aktualizacją platformy Orion.

Ten typu ataku nosi nazwę supply-chain attack. Polega na zainfekowaniu jednego z ogniw łańcucha dostaw narzędzi programistycznych. Może także dotyczyć świata fizycznego, domniemanym przykładem jest atak na płyty główne dla serwerowni amerykańskiego producenta Super Micro. Chiński poddostawca miał instalować na nich mikroczip dający nieautoryzowany dostęp do kontrolera zarządzania płytą główną.

Serwer C2 (Command and Control) – miejsce, z którym łączy się zainfekowany komputer i odbiera polecenia od atakującego, np. pobrania i zainstalowania dodatkowych programów, które dadzą atakującemu większą kontrolę.

Adres IP jest przypisany przez operatora internetowego każdemu komputerowi i każdemu innemu urządzeniu podłączonemu do sieci internetowej. Każdy adres IP jest unikatowy i pozwala m.in. zidentyfikować właściciela i jego lokalizację geograficzną.
Po skutecznym zainstalowaniu Sunburst kontaktował się z serwerem C2 (Command and Control) w oczekiwaniu na instrukcje. Atakujący mogli instalować kolejne programy pozwalające m.in. na przeglądanie lokalnych sieci. Adres IP serwera C2 został zidentyfikowany 15 grudnia 2020 r., przejęty przez firmy FireEye, GoDaddy i Microsft, a następnie przerobiony na killswitch. Oznacza to, że każdy zainfekowany system, który łączył się z serwerem C2, otrzymywał informację zwrotną, że ma „wyłączyć” Sunbursta.

Obecnie trwa dochodzenie w celu ustalenia, jaki był pierwotny wektor ataku, czyli jak hakerzy włamali się do systemów SolarWinds i zainfekowali system aktualizacji.

Jaki dostęp uzyskali i co wykradli atakujący?

Pełen zakres danych, do jakich dotarli hakerzy, prawdopodobnie nigdy nie zostanie poznany. Zaatakowane firmy, organizacje i jednostki rządowe prawdopodobnie nie będą chciały mówić publicznie o skali strat.

Wiadomo, że atakujący uzyskali dostęp do części skrzynek pocztowych Departamentu Sprawiedliwości. Według informacji samego urzędu ich łupem padło 3% skrzynek, co stanowi 3–3,5 tysiąca kont. Jak podaje „The Wall Street Journal”, został też zinfiltrowany system elektroniczny wykorzystywany przez sądy federalne, w którym przechowywane są wrażliwe informacje związane ze sprawami sądowymi, takie jak pełne dane osobowe oskarżycieli, pozwanych, świadków, członków organów ścigania, a także poufne dane operacyjne. Grupa wykradła także informacje ze skrzynek pocztowych wysokich rangą pracowników Departamentu Skarbu oraz zainfekowała jego niejawne, wewnętrzne systemy dostępne tylko dla pracowników.

W przypadku opisanym przez firmę Volexity celem ataku były maile konkretnych osób. Hakerzy nie wykradali danych masowo, w pierwszej kolejności ustalali listę pracowników i ich funkcje, a następnie – miejsce przechowywania danych i pobierali je. W tym przypadku byli zainteresowani jedynie danymi z 2020 roku. Paczki z danymi były zapisywane na serwerze pocztowym ofiary i pobierane poprzez wpisanie odpowiedniego adresu w pasku przeglądarki (zapytanie http).

Po wszystkim atakujący usuwali ślady swojej działalności. Przypadek dotyczył nienazwanego think tanku. Można założyć, że w podobny sposób atakujący działali w innych firmach i instytucjach rządowych, a ich celem były dane.

FireEye przyznała się, że z jej serwerów zostały też wykradzione narzędzia do pracy red teamu, czyli wykorzystywane do ataków na sieci komputerowe. W przypadku firm zajmujących się cyberbezpieczeństwem takie ataki są przeprowadzane zgodnie z prawem, za wiedzą i zgodą klienta. Niczym się jednak nie różnią od narzędzi wykorzystywanych w nielegalnych działaniach.

Microsoft poinformował, że atakujący uzyskali dostęp do kont programistów i mogli przejrzeć kod źródłowy nieujawnionych aplikacji.

Rosyjskie wojny w cyberprzestrzenii

5 stycznia 2021 r. amerykańskie agencje odpowiedzialne za bezpieczeństwo (CISA, FBI, Departament Sprawiedliwości i NSA) wydały oświadczenie, że za atakiem najprawdopodobniej stoi Rosja. Tego samego dnia ten scenariusz potwierdził sekretarz stanu Mike Pompeo. Wykrycie sprawców ataku jest możliwe poprzez analizę ich działania. W tym przypadku eksperci znaleźli techniki i narzędzia wykorzystywane w innych atakach prowadzonych przez Rosjan.

Rosja była jednym z pierwszych krajów, które zaczęły bardzo aktywnie rozwijać swoje możliwości ofensywne w cyberprzestrzeni. Wszystkie jednostki i działania pozostają tajne, Kreml oficjalnie się do nich nie przyznaje. Ekspertom udało się jednak ustalić wiele faktów na temat ich działania i przypisać im niektóre ataki.

W Rosji działa wiele grup APT, które zazwyczaj operują samodzielnie w ramach jednostek rządowych, wywiadu i wojska. Nie dzielą się między sobą wiedzą ani narzędziami. W 2016 r. dwie rosyjskie grupy APT jednocześnie zaatakowały serwery amerykańskiego Krajowego Komitetu Partii Demokratycznej i nie wiedziały o sobie nawzajem.

APT (Advanced Persistant Threat) – stale działająca, zaawansowana grupa hakerska, zwykle powiązana z rządem obcego kraju. Ataku na SolarWinds najprawdopodobniej dokonała grupa APT 29 (znana też jako Cozy Bear), przypisywana rosyjskim służbom wywiadu zagranicznego. Jej działalność jest obserwowana od 2014 r., a obszar działania stanowią Europa Zachodnia i Stany Zjednoczone. Na swoim koncie ma ataki na amerykańskie instytucje rządowe, w tym Biały Dom, Pentagon, ministerstwa, think tanki i NGO-sy.

W 2017 r. norweska policja odkryła działalność Cozy Bear na serwerach swoich ministerstw i polityków. W tym samym roku grupa zaatakowała także w Danii. W zeszłym roku, oprócz ataku na SolarWinds, grupa została oskarżona przez amerykańską, brytyjską i kanadyjską służbę bezpieczeństwa internetowego o próby wykradzenia danych na temat szczepionek przeciwko koronawirusowi SARS-CoV-2.

Grupa APT 28 (Fancy Bear) działa prawdopodobnie w ramach rosyjskiego wywiadu wojskowego GRU. Zakresem jej działania jest cały świat, a celami zarówno instytucje rządowe, jak i wpływowe osoby prywatne.

Od 2014 do 2017 r. Fancy Bear atakował dziennikarzy ze Stanów Zjednoczonych, Ukrainy, Rosji, Bałkanów i innych krajów piszących negatywnie o rosyjskich władzach i rosyjskiej agresji na Ukrainę.

W latach 2014–2015 grupa zaatakowała niemiecki parlament, skąd pobrała 16 GB danych. W 2015 r. przeprowadziła skomplikowany atak na francuską telewizję TV5Monde: 12 kanałów należących do nadawcy nie nadawało przez 3 godziny. Dyrektor TV5Monde powiedział później, że atak prawie doprowadził do bankurctwa firmy. W 2016 r. grupa jako druga rosyjska APT włamała się na serwery Krajowego Komitetu Partii Demokratycznej.

Inne grupy hakerskie z Rosji wspierane przez rząd to np. Turla, przypisywana służbie bezpieczeństwa wewnętrznego FSB, i Sandworm Team, odpowiedzialna za atak na ukraińską sieć energetyczną w 2015 r. Grupie przypisywany jest też atak NotPetya, który w 2017 roku sparaliżował ukraińską gospodarkę, szyfrując systemy informatyczne firm i instytucji, w tym Narodowego Banku Ukrainy.

Znaczenie ataku

Analitycy są zgodni, że atak na SolarWinds jest prawdopodobnie największym tego typu. Jego skutki na razie nie są spektakularne, bo celem APT 29 było najprawdopodobniej zebranie wrażliwych informacji o amerykańskim rządzie, agencjach, instytucjach i ich pracownikach. Możliwe, że tak jak w przypadku działań wywiadowczych realne skutki działań grupy APT 29 nie zostaną nigdy oficjalnie poznane.

Backdoor (ang. „tylna furtka”) to sposób na dostanie się do programu lub sieci z pominięciem zabezpieczeń. Może być stosowany przez twórców programów i aplikacji do łatwego wyciągnięcia z nich danych (to praktyka krytykowana przez ekspertów bezpieczeństwa) lub przez grupy hakerskie do uzyskania nieuprawnionego dostępu.
Z biegiem czasu atak na SolarWinds może jeszcze nabrać znaczenia, bo w tym momencie nie wiadomo, co zostało wykradzione, oraz jakie backdoory zostawili sobie atakujący. Samo zidentyfikowanie ataku i zrozumienie sposobu jego działania nie oznacza, że został on całkowicie wyeliminowany.
Bolesław Breczko, redaktor prowadzący tech.wp.pl. Pisze o nowych technologiach, technice wojskowej, prywatności i bezpieczeństwie w sieci.