Společnost SolarWinds se stala obětí velmi sofistikovaného kybernetického útoku, který může posloužit jako učebnicový případ.
Pro připomenutí, o co se jedná?
SolarWinds je původně americký software, velmi rozšířený, samozřejmě i ve státní správě mnoha zemí. Do jejich software byl na jaře 2020 přidán neznámým útočníkem tzv. „back-door“. Tedy malware integrovaný do legitimního kódu. Stalo se tak ve fázi kompilace, neboli sestavování hotového produktu z dílčích naprogramovaných součástek, které dodávají jednotlivé týmy.
Když si zákazník nainstaloval (nebo aktualizoval) zakoupený software SolarWinds do svého provozu, malware chvilku nenápadně počkal, po několika dnech se automaticky spustil a začal plnit příkazy svého strůjce.
Zůstal nepovšimnut až do prosince 2020...
Rozbor, jak složité je podobný malware vytvořit a jak se dá proti němu účinně bránit, nám zaslal ing. Ondřej Ševeček, produktový manažer kurzů oblasti Microsoft servery a systémy ze společnosti GOPAS, a.s.
Podstatné je, že se jedná o velice profesionálně a na míru provedenou práci. Musíte vyvinout něco, co bude fungovat u mnoha zákazníků samo od sebe, bez možnosti aktualizace, bez možnosti spolupráce se zákazníkem, navíc nenápadně. A takový vývoj není zadarmo. Kdyby to chtěl někdo po mě, řeknu si minimálně o týden na analýzu, měsíc až dva na vývoj, půl roku na testování a přizpůsobení. Musíte uhýbat všem možným detekcím a nebudete mít druhou šanci.
Autor si klidně zaslouží nejvyšší státní vyznamenání. Žádný plán nikdy nepřežije první kontakt s nepřítelem. Tenhle to přežil.
Detailní analýzy chování tohoto malwaru jsou k dispozici online na stránkách Microsoftu a FireEye. V podstatě to odpovídá tomu, co ukazujeme na Computer Hacking Forensic Investigator.
Čemu však úplně nerozumím je to, jak by takový „back-door“ v dohledovém systému, vůbec mohl někomu způsobit větší škody?
Základním bezpečnostním pravidlem je, že servery nemají mít přístup na internet. Jak by pak mohly něco způsobit, kdyby pracovaly pod omezeným uživatelským účtem? Ke sledování stačí číst logy a stavy. Nemusí vám to běžet pod doménovým adminem. Minimálně ne na všech systémech.
Kdyby měli tito zákazníci bezpečné prostředí pro správu (SAE) a Tiering, téhle nákaze by se vysmáli. I segmentace sítě a služeb by omezila dopady na minimum. Na monitoring citlivějších služeb by se používali oddělené technologie a aplikovali se tím pádem různé úrovně zabezpečení.
Jak jsem již říkal, incidenty se vždycky dějí, ale při správném organizačním zabezpečení (podpořeném dobře volenou sadou technických opatření) se jejich dosah podstatně zmenší. A navíc se pěkně pozná, co vlastně uteklo. I když je pravda, že prohlášení "uteklo všechno a navíc nevíme, co nám tu kde zůstalo schováno (persistence)", je také jednoznačný popis :-)
Koukněte na naše (nyní vše online a to i s živým lektorem) kurzy, které vám pomůžou těmto „zákeřným“ situacím předcházet.
CHFI - Computer Hacking Forensic Investigator
GOC159 - Windows Server 2019/2016 - Active Directory SAE, Tiering and Red Forest
GOC169 - Windows Server 2019/2016 - audit bezpečnosti podle ČSN/ISO/IEC 27001 a ČSN/ISO/IEC 27002 verze 2013
GLAB007 - Capture the Flag - hackni si Windows podnikovou síť 1
GLAB008 - Capture the Flag - hackni si Windows podnikovou síť 2
GOC213 - Windows Server 2019/2016 - hacking and pentesting Active Directory
MOC AZ-500 - Microsoft Azure - zabezpečení