Nuovi rapidi sviluppi hanno continuato a riversarsi sulla violazione di SolarWinds. In circostanze normali è difficile tenersi aggiornati sulle notizie e soprattutto con una storia che continua a crescere. Tuttavia, il team di Threat Lab di WatchGuard ha tenuto d’occhio gli ultimi aggiornamenti. Al di là dei principali attori come FireEye, Microsoft, CISA e SolarWinds, c’è stata una pletora di altre società e ricercatori desiderosi di comprendere e pubblicare i loro risultati. Comprensibilmente, ci sono ancora alcuni aspetti della violazione che rimangono sconosciuti. La ricerca pubblicata finora ha dipinto un quadro vivido di come gli aggressori abbiano creato uno dei più grandi attacchi alla catena di approvvigionamento della storia. Sorprendentemente, la storia iniziale sulla backdoor Sunburst di FireEye non è stata l’unica impresa che SolarWinds ha dovuto affrontare. Da allora, sono stati identificati due distinti ceppi di malware. Lo suddividiamo in molte delle sezioni seguenti.
Versione iniziale di FireEye su Sunburst Malware e Teardrop Loader
Il 13 dicembre ° 2020 FireEye pubblicato un rapporto su un attacco di catena di approvvigionamento SolarWinds. All’insaputa di SolarWinds, gli aggressori avevano impiantato una backdoor Trojan nel codice di aggiornamento del software Orion. Orion è una piattaforma che ospita una suite di strumenti per il monitoraggio dell’infrastruttura IT. I clienti che hanno aggiornato il loro software della piattaforma Orion tra la fine di febbraio 2020 e il giugno 2020 sono diventati una potenziale vittima del malware denominato Sunburst. Gli aggressori hanno quindi utilizzato un payload di seconda fase , Teardrop, su organizzazioni che consideravano obiettivi di alto valore. Il malware Teardrop ha quindi caricato Cobalt Strike, un toolkit di hacking progettato per i professionisti della sicurezza ma che da allora è diventato popolare e utilizzato da malintenzionati.
Vittime e obiettivi
Il mese scorso SolarWinds ha rivelato l’impatto della violazione. Più di 18.000 clienti SolarWinds hanno scaricato l’aggiornamento Orion compromesso. Tra queste c’erano le principali società e agenzie degli Stati Uniti. Alcuni da notare: Department of Homeland Security, Department of State, Department of Justice, Microsoft, FireEye, Cisco Systems e VMware. È diventato chiaro che l’aggressore stava cercando obiettivi di alto valore per lo spionaggio.
Attore di minaccia
L’attore APT (Advanced Persistent Threat), APT29 , è considerato il principale sospettato della violazione di SolarWinds. Il notevole sforzo compiuto per eludere il rilevamento e una forte comprensione dell’infrastruttura di SolarWinds ha portato i ricercatori a ipotizzare che questo attacco fosse opera di un governo straniero. In particolare, le attività dell’APT29 sono state strettamente collegate alle agenzie di sicurezza russe. Le loro azioni sono state attribuite a molti attacchi importanti come gli attacchi al Comitato nazionale democratico nel 2017 e il recente tentativo di rubare i dati del vaccino Covid-19 in più paesi.
Domini C2
Rispondendo con una rapida inversione di tendenza dopo l’annuncio della violazione, Microsoft ha trasferito da GoDaddy il server Command & Control (C2), avsvmcloud [.] Com . Questo dominio ha comunicato con il malware installato sui dispositivi dei clienti. Microsoft ha utilizzato questo dominio come una dolina in cui tutti i dispositivi infetti dei clienti SolarWinds compromessi sarebbero stati identificati in base al loro tentativo di raggiungere il dominio C2. Una ventina di domini aggiuntivi sono stati associati a Sunburst.
Avvisi di agenzie governative
Mentre Microsoft ha agito sui domini C2, più agenzie di sicurezza statunitensi hanno iniziato a pubblicare aggiornamenti e procedure di riparazione per chiunque fosse interessato dalla violazione. La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato l’ avviso AA20-352A sui dettagli della violazione e ha continuato ad aggiornare la pagina con l’arrivo di nuovi sviluppi. Inoltre, CISA ha rilasciato passaggi di mitigazione con la Direttiva di emergenza 21-01 e un avviso complementare, Alert AA21-008A , che descrive in dettaglio come rilevare l’attività delle minacce nell’ambiente cloud Microsoft 365 e Azure. Tra le altre pubblicazioni c’era un avviso della National Security Agency (NSA) e una dichiarazione congiunta da quattro agenzie di sicurezza statunitensi che denunciano l’attacco di un gruppo APT di origini russe.
Supernova
In una continuazione delle nuove scoperte di SolarWinds, i ricercatori hanno scoperto un exploit .NET webshell in memoria denominato Supernova nel software SolarWinds Orion. Questa volta è venuto da un attore di minacce diverso. Le scelte distintive su come è stato distribuito il malware lo distinguono dall’attacco alla catena di approvvigionamento Sunburst. Le differenze nella tecnica hanno portato i ricercatori a considerare il coinvolgimento del secondo gruppo APT, anche se entrambi hanno adottato misure sofisticate per eludere il rilevamento. Come l’attacco alla catena di approvvigionamento, le azioni intraprese dal malware hanno mostrato una comprensione del software Orion e sapevano come rimanere nascoste. La shell è stata compilata ed eseguita in memoria che gli ha permesso di eseguire un’API .NET nel binario. Diverse organizzazioni hanno documentato questo exploit, come il blog dell’Unità 42 a Palo Alto Networks e Volexity .
JetBrains
La notizia è stata data dal New York Times che il software TeamCity, un prodotto di JetBrains, potrebbe essere stato utilizzato come vettore per consentire agli aggressori di accedere a SolarWinds. Questo annuncio è stato una sorpresa per il CEO di JetBrains, Maxim Shafirov, che ha pubblicato un aggiornamento di cui non erano a conoscenza di alcun compromesso nel loro software. JetBrains ha sede in Russia, il che ha portato alcuni a credere che questa fosse l’origine dell’accusa. Questo semplicemente non merita un’accusa, soprattutto perché JetBrains è un’azienda ben considerata e utilizzata tra le più grandi aziende tecnologiche del mondo. Il software TeamCity non deve essere considerato compromesso fino a quando non vengono fornite prove credibili.
Impianto di macchie solari e caricatore per gocce di pioggia
Le scoperte abbondano! Crowdstrike ha pubblicato i risultati su un terzo malware relativo all’attacco alla catena di approvvigionamento. Questo malware è stato trovato nel server di compilazione SolarWinds. Sunspot tiene traccia dei comandi di compilazione e sostituisce il codice sorgente prima della compilazione con file contenenti malware Sunburst. Il software Orion carico di malware è quindi passato dalla fase di sviluppo alla produzione in cui i clienti scaricavano l’aggiornamento. Symantec ha scopertoun quarto malware in connessione alla catena di approvvigionamento. Chiamato Raindrop, aveva molte qualità simili a Teardrop, come ad esempio il fatto che fungeva da caricatore per un carico utile Cobalt Strike. Ci sono differenze tra Teardrop e Raindrop, la più significativa è l’origine sconosciuta di come Raindrop è atterrato sulle macchine delle vittime. L’erogazione a goccia è stata più chiara poiché è stata schierata da Sunburst.
SolarWinds deve ancora determinare come il malware iniziale è entrato nella sua infrastruttura. Con i pesi massimi della tecnologia come Microsoft, Crowdstrike e FireEye, ricercando questo attacco possiamo aspettarci di saperne di più. Microsoft ha pubblicato un articolo approfondito proprio la scorsa settimana. Inoltre, il nuovo gruppo di consulenza dell’ex direttore del CISA Chris Krebs, Krebs Stamos Group, è stato assunto per la consulenza. La vera domanda è: chi sarà il primo a incassare pubblicando un libro su questo straordinario attacco alla filiera?
FONTI: https://www.secplicity.org/2021/02/01/solarwinds-catch-up/
