E' di qualche giorno fa la notizia dell'individuazione di una massiccia campagna di cyberspionaggio contro numerose agenzie governative e organizzazioni pubbliche e private statunitensi in tutto il mondo. L'attacco è condotto distribuendo un malware tramite la supply chain degli aggiornamenti della suite Orion di SolarWinds. L'attacco ha permesso la sottrazione di molteplici informazioni riservate, sia tra agenzie federali che comunicazioni interne ai dipendenti.
Il problema è così grave da aver portato il Department of Homeland Security’s – Cybersecurity & Infrastructure Security Agency (DHS-CISA) a emettere una direttiva di emergenza, che ordina a tutte le agenzie di “scollegare o spegnere immediatamente i prodotti SolarWinds Orion (versioni dalla 2019.4 alla 2020.2.1 HF1), dalla loro rete". Ma non tutti stanno seguendo il consiglio: è di ieri la notizia che, tra le vittime di questa campagna, risultano le reti della National Nuclear Security Administration (NNSA) e dell'US Department of Energy (DOE). Anche organizzazioni di peso come l'FBI, la CISA, l'US Department of Homeland Security hanno confermato ufficialmente il breach.
“L’incidente potrebbe avere conseguenze devastanti” ha dichiarato Pierluigi Paganini senior researcher presso il Cyber Security and International Relations Studies (CCSIRS) – Università degli Studi di Firenze. "Si tratta di un attacco estremamente complesso alla supply chain dell’azienda SolarWinds, che fornisce le sue soluzioni a centinaia di migliaia di clienti, tra cui le agenzie di intelligence ed aziende di medie e grandi dimensioni. Il patrimonio informativo esfiltrato attraverso questa metodica di attacco è potenzialmente illimitato ed impatta ogni settore”.
“Gli attacchi alle supply chain sono complessi da realizzare, ma ancora di più da individuare, in quanto il fornitore legittimo dei software è compromesso. L’unico modo di individuare attacchi alla supply chain dei fornitori di software consiste nel verificare puntualmente ogni componente del codice fornito, ivi compresi i continui aggiornamenti rilasciati." ha proseguito.
Cosa è successo: il breach SolarWinds
Partiamo dall'origine: SolarWinds è una società privata che sviluppa soluzioni di monitoraggio e gestione dell'IT. Ad ora si è imposta come leader sul mercato americano, anche grazie ad uno dei suoi più famosi prodotti, cioè la piattaforma Orion. La suite Orion include:- Network Performance Manager (NPM)
- Netflow Traffic Analyzer (NTA)
- Network Configuration Manager (NCM)
- Virtualization Manager (VM)
- Server and Application Monitor (SAM)
- Storage Resource Monitor (SRM).
che sono tutti strumenti utili a fornire una supervisione e controllo totale delle risorse di rete, delle applicazioni e di tutti gli storage. 300.000 sono i clienti che utilizzano questi strumenti e basta citarne alcuni per capire la gravità della faccenda: Microsoft, McDonald’s, MasterCard, Harvard University, US Pentagon, US Telecom, State Department, NASA, NSA, Postal Service, NOAA, Dipartimento di Giustizia, Ufficio del Presidente degli Stati Uniti d’America ecc... Menzione a parte merita l'hacking subito dalla più importante società di cyber security, FireEye, che ha comportato il furto di molteplici (efficacissimi e segreti) strumenti hacking e penetration.
L'attacco è iniziato violando la rete di SolarWinds: gli anonimi attaccanti hanno aggiunto una backdoor a una libreria chiave del prodotto. E' proprio questa libreria compromessa che è poi stata diffusa a tutti i clienti, tramite il normale processo di update / upgrade di Orion, quindi sfruttando il dominio legittimo di SolarWinds h[xx]ps:// downloads[.]solarwinds[.]com. FireEye, che ha scoperto e sta studiando l'attacco, l'ha rinominata SUNBURST Backdoor. Il nome della DLL compromessa è SolarWinds.Orion.Core.BusinessLayer.dll.
 |
| Fonte: FireEye |
Il file di aggiornamento, contenente il trojan, sembra un comunissimo installer Windows: una volta installato, la DLL malevola è caricata tramite SolarWinds.BusinessLayerHost.exe o SolarWinds.BusinessLayerHostx64.exe
 |
| Fonte: Microsoft |
Se già così è quasi impossibile per le soluzioni di sicurezza rendersi conto della compromissione della rete, il malware ha una seconda accortezza per ritardare l'individuazione, banale ma efficace: non si attiva subito, ma è programmato per un lasso di inattività che può arrivare fino a due settimane, prima di attivarsi. Quando si attiva, il malware tenta di risolvere il sottodominio avsvmcloud[.]com, ottenendo in risposta dal DNS un record CNAME che punterà direttamente al dominio del server di Comando e Controllo degli attaccanti. Tutto il traffico che, da quel momento, andrà da e verso il C2 imiterà le normali comunicazioni dell'API di SolarWinds. Tra le prime indicazioni che il malware ottiene dal C2 c'è quella relativa all'installazione di uno spyware.
Queste comunicazioni tra il malware e i server C2 avvengono usando IP offuscati tramite una VPN e dislocati nello stesso pase delle vittime: nei fatti, questa accortezza impedisce eventuali controlli sui traffici di rete.
A conclusione di tutto questo, il malware inizia ad eseguire movimenti laterali per propagarsi entro la rete e esfiltrare tutto ciò che trova negli host infetti.
Le versioni compromesse di Orion e il problema con Office 365
Le indagini hanno portato a stabilire che gli aggiornamenti di Orion compromessi sono tutti quelli rilasciati tra Marzo e Giugno 2020: tramite questi strumenti un attaccante può, da remoto, modificare le configurazioni, scaricare patch, impedire l'applicazione di alcune patch, abilitare o disabilitare gli strumenti di sicurezza della rete ecc...
Inoltre SolarWinds sta collaborando fianco a fianco con Microsoft per rimuovere un vettore di attacco che permette di compromettere Microsoft Office 365.
Disponibile l'hotfix e mitigazioni
SolarWinds, in tutta fretta, ha reso disponibile la versione 2020.2.1 HF 1 della Piattaforma Orion che consente agli amministratori di sistema di mettere in sicurezza le versioni compromesse.
"Raccomandiamo l'upgrade prima possibile della piattaforma Orion alla v. 2020.2.1 HF 1, per garantire la sicurezza del tuo sistema" specifica l'alert di sicurezza di SolarWinds "l'ultima versione è disponibile sul Portale Clienti di SolarWinds"
Per coloro invece che non possono applicare immediatamente il fix ai server vulnerabilii, l'azienda ha fornito ulteriori informazioni di mitigazione disponibili qui.
Prima tra tutte, quella di eseguire una scansione al proprio ambiente, cercando il file SolarWinds.Orion.Core.BusinessLayer.dll: se questa DLL viene individuata, è necessario eseguire immediatamente l'upgrade per rimuovere il file infetto.
FireEye e Microsoft annunciano il kill-switch
Le analisi di FireEye hanno rivelato che se il server C2 risolve uno indirizzo IP entro un certo range, il malware verrà terminato e verrà scaricato un update che impedirà al malware di essere eseguito ancora. Ecco perché due giorni fa Microsoft ha preso il controllo del dominio del server C2 avsvmcloud[.]com: adesso questo e tutti i suoi sottodomini risolvono l'indirizzo IP 20.140.0.1 che appartiene a Microsoft. Questo IP appartiene al range di indirizzi IP che terminano il malware. Questa acquisizione è utile anche perchè consente a Microsft e ai suoi partner di "catturare" il traffico dannoso e analizzarlo per identificare ed allertare ulteriori vittime.
FireEye ha specificato comunque che questo kills witch termina soltanto l'infezione originale della backdoor Sunburst.
Nessun commento:
Posta un commento