Atlantic.Net poskytuje tuto bezpečnostní zprávu jako novinku; chceme naše zákazníky ujistit, že Atlantic.Net nepoužívá žádné produkty SolarWinds interně ani jako součást nabídky našich služeb.
Dne 13. prosince 2020 se objevily zprávy od organizace FireEye pro kybernetickou bezpečnost týkající se velkého narušení bezpečnosti ve společnosti SolarWinds Corporation. SolarWinds je technologický gigant se sídlem v Texasu, který se se svou řadou softwarových produktů Orion stal dominantním hráčem v monitorování serverů a správě sítě. Obsluhuje 300 000 zákazníků po celém světě a důvěřuje jí několik významných organizací a vládních institucí.
Odborníci na kybernetickou bezpečnost se domnívají, že sofistikovaný, možná ruským státem podporovaný kybernetický útok narušil infrastrukturu SolarWinds a zasáhl mnoho zákazníků společnosti. Odborníci se domnívají, že SolarWinds byl proražen na jaře 2020, ale základy útoku mohly začít mnohem dříve.
Útokem jsou údajně zasaženy globální společnosti jako VMware, Intel, Microsoft a Cisco, stejně jako všech pět složek americké armády, národní správa jaderné bezpečnosti, Pentagon, ministerstvo zahraničí a kancelář prezidenta republiky. ve Spojených státech.
Hack byl neuvěřitelně sofistikovaný. Hackeři byli schopni získat přístup k interním systémům SolarWinds a kompromitovat jejich oficiální aktualizace softwaru Orion pomocí „trojanizace“ aktualizace malwaru. To umožnilo hackerům zamaskovat kompromitované aktualizace jako legitimní aktualizace Orion schválené společností SolarWinds. Předpokládá se, že malware si stáhlo až 18 000 zákazníků SolarWinds. Toto je nepopiratelně obrovský, neuvěřitelný a docela šokující výpadek zabezpečení, ke kterému došlo ve společnosti v hodnotě asi 5 miliard dolarů.
FireEye, společnost zabývající se kybernetickou bezpečností, která jako první identifikovala narušení, uvedla, že hack dal vetřelcům „schopnost přenášet soubory, spouštět soubory, profilovat systém, restartovat počítač a deaktivovat systémové služby. Malware maskuje svůj síťový provoz jako protokol Orion Improvement Program (OIP) a ukládá výsledky průzkumu do legitimních konfiguračních souborů pluginů, což mu umožňuje splynout s legitimní aktivitou SolarWinds.“
Po instalaci obětí hackeři použili část softwarového rámce Orion, konkrétně zranitelnost HTTP API v souboru s názvem SolarWinds.Orion.Core.BusinessLayer.dll. Vykořisťování jim umožnilo provádět vzdálené ‚úlohy‘ na jakémkoli napadeném serveru a procházet sítí oběti pomocí oprávnění „režimu boha“, aby kompromitovali jakýkoli připojený server a provedli krádež dat.
Symantec a Palo Alto Networks oznámily, že sekundární užitečné zatížení známé jako Teardrop a Supernova byly nasazeny proti „cílům zájmu“. Teardrop obsahuje malware Cobalt Strike Beacon, který se pokouší ukrást přihlašovací údaje, hacknout Active Directory a provádět krádeže dat.
Vzhledem k tomu, že se tato zpráva objevila teprve nedávno, rozsah dopadu ještě není zcela znám, ale mnoho podniků se připravuje na vyšetřování dopadu úniku dat. Dosud nikdo přesně neví, jaká data byla ukradena, i když vláda může mít určitou představu. Pokud pochopíme skutečný rozsah tohoto narušení a jeho důsledky, mohlo by to být považováno za nejhorší kybernetický útok v historii.
Co udělalo tento útok tak zákeřným, byl použitý útočný vektor:dodavatelský řetězec SolarWinds. SolarWinds nebyly konečným cílem, ale jsou silně zabudovány do vládních subjektů a významných organizací a důvěřují jim. Tento typ útoku je známý jako Advanced Persistent Threat (APT) a způsob útoku není nic jiného než trojský kůň; konkrétně je známý jako Trojan pro vzdálený přístup (RAT), protože se zaměřoval na uživatelská data a firemní tajemství.
Doporučené akce
SolarWinds identifikoval infikované aktualizace Orionu a zveřejnil o nich informace zde. Uživatelé musí zkontrolovat, zda byly mezi březnem a červnem 2020 nainstalovány aktualizované verze platformy Orion 2019.4 HF5. Doporučují, aby všichni uživatelé platformy Orion aktualizovali na verzi 2020.2.1 Hot Fix 2 Orion Platform.
Uživatelé by měli zkontrolovat své sítě, zda nejsou ohroženy. Vyhledejte dva klíčové identifikátory:použití malwaru Teardrop v paměti k odstranění Cobalt Strike Beacon a názvů hostitelů vaší organizace. V případě porušení mohou názvy hostitelů odhalit škodlivé IP adresy používané útočníky.
Atlantic.Net také nabízí další rady ohledně osvědčených postupů v oblasti kybernetické bezpečnosti:ujistěte se, že používáte nějakou formu místního správce hesel. Pokud tak ještě neučiníte, použijte nějakou formu vícefaktorové autentizace a rychle ji nainstalujte do vaší sítě. K dispozici jsou různé možnosti včetně placených licencovaných verzí nebo open source. Nikdy nepoužívejte stejné heslo v celé organizaci, prosazujte přísnou politiku hesel a prosazujte komplexní strategii hesel.
Jedna teorie, která koluje o tom, jak hackeři zvládli počáteční kompromis, předpokládá, že dosáhli přístupu pomocí interních uživatelských jmen a hesel pro SolarWinds, která byla nalezena vložená do veřejných úložišť kódu GitHub. Teorie hesla „Solarwinds123“ může mít určitou hodnotu, a pokud je pravdivá, ukazuje prstem na zavedené špatné bezpečnostní postupy uvnitř SolarWinds.
Nemůžeme předvídat důsledky tohoto porušení, ale pravděpodobně bude mít vážné globální důsledky. Tento incident pravděpodobně donutí americké organizace provést audit svých síťových prostředí od hlavy až k patě. SolarWinds nepochybně ztratí mnoho zákazníků z tohoto významného porušení a může očekávat obrovské regulační pokuty. Je možné, že jim mohou být dokonce uloženy pokuty za porušení GDPR, protože mnoho zákazníků SolarWinds se nachází v Evropské unii.
Očekáváme, že americká administrativa po tomto útoku přepracuje protokol kybernetické bezpečnosti, zvláště pokud se ukáže, že jde o státem podporovaný útok Ruska. Americká vláda již má zavedenu platformu kybernetické bezpečnosti, která je navržena tak, aby zmařila tento druh útoku známý jako EINSTEIN 3. Zdá se, že tento systém o tomto útoku vůbec nevěděl.
Pokud se vaše firma zajímá o kybernetickou bezpečnost, neváhejte se obrátit na Atlantic.Net. Jsme specialisté na Managed Services, Cloud Hosting a HIPAA Compliance. Bezpečnost naší infrastruktury je prvořadá a tvrdě pracujeme na tom, abychom zajistili, že máme ty nejlepší bezpečnostní procesy. Tento kybernetický útok se zapíše do historie jako jeden z nejhorších vůbec, máme obavy o naše přátele v oboru, které by to mohlo ovlivnit. Klienti SolarWinds neudělali nic špatného; zakoupili špičkovou sadu pro správu serverů od renomované firmy a nyní, kvůli neznámé bezpečnostní nekompetentnosti, je každý zákazník vystaven riziku bez vlastního zavinění. Kontaktujte nás ještě dnes.