И тази седмица продължава разследването на случая със SolarWinds и Orion. Но вместо нещата да почнат да се разплитат, те се заплитат все повече и повече.
Както си спомняте, през декември, американското правителство се събра на спешна среща, заради открита хакерска атака към две министерства. В хода на разследването на инцидентите се оказа, че виновник за това е Orion, софтуер за мрежова администрация на компанията SolarWinds. Това, което се предполага, че се е случило е че неизвестна засега страна (макар и висши представители на властта и четири големи организации за киберсигурност да побързаха да назоват „руски произход“ на атаката) е компрометирала през пролетта на 2020 процеса по доставяне на обновления към клиентите на Orion и потребителите ѝ са получили зловредна програма в мрежите си. Случаят придобива още по-голяма значимост, вземайки предвид това, че сред хилядите клиенти на Orion са почти всички компании от списъка Fortune 500, американски министерства и федерални ведомства, агенции за сигурност и разузнаване и даже офиса на президента на САЩ. И това на фона на предишно разкритие на специалист по сигурност, че дълго време паролата за достъп на сървъра по обновяване на програмата е бил solarwinds123. Наистина, кой ли би могъл да ги хакне? Ми, вероятно, общо взето всеки.
За последно в разследване на случая се намесиха и Kaspersky, които направиха връзка между кодовата база на Sunburst и зловреден софтуер, използван от руска APT група. Sunburst е една от двете програми, открити в хода на разследването, които са компрометирали мрежите на SolarWinds. Другата програма изглежда е част от отделна атака. А сега се появи и информация, че вероятно самата атака, която стои в разследването на американските служби се е провела не през пролетта на миналата година, а през есента на 2019.
CrowdStrike, една от компаниите, които участват пряко в разследването, съобщават за откритието на трета зловредна програма в мрежите на SolarWinds. Кръстена с името Sunspot, софтуерът се оказва, че е използван първо в атаката към компанията – през септември 2019.
В доклад на CrowdStrike, публикуван по-рано тази седмица се твърди, че Sunspot е бил инсталиран на един от билд сървърите на SolarWinds. Билд сървърите се използват обикновено за вграждане на по-малки компоненти в по-големи софтуерни приложения. Функцията на Sunspot е била основно една – да наблюдава за въвеждането на „билд“ команди, свързани с Orion. Веднъж засечено въвеждането на такава команда, софтуерът заменя файловете, свързани с изходния код в приложението на Orion с файлове, които идват от Sunburst и така тези нови версии на Orion идват заедно с инсталиран Sunburst – въпросното компрометиране на ъпдейт процеса на приложението.
Веднъж попаднало в официалния сървър за обновления на Orion, а впоследствие и в мрежата на засегнатата организация, Sunburst се активира, след което започва да събира информация за жертвите си и да ги изпраща към командните структури на хакерите. Веднъж разполагащи с профила на жертвата, хакерите решават дали да продължат с действията си или не. Ако това се случи, те доставят бекдор компонент с името Teardrop и инструктират Sunburst да се самоизтрие от мрежите, които биват разглеждани като неважни или такива, които представляват риск зловредната програма да бъде регистрирана.
И това са едва ранни разкрития, които все още не отговарят на редица, основно нетехнически въпроси. Като например какви са щетите от атаките, до какво ниво на чувствителност на информацията е достигнато и какви са били истинските цели на атакуващата страна? С оглед на мащаба на операцията, това може спокойно да се определи за най-мащабната кибершпионска акция, за която сме чели. Съвсем друга територия са въпросите, които изтъкнатият криптограф Брус Шнайер повдига. Като например как е можело мрежи, съхраняващи толкова чувствителна информация да бъдат хакнати по този начин и защо държавата разбира сега и то благодарение на случайното откритие на една частна компания (FireEye).
