Kể từ khi cuộc tấn công chuỗi cung ứng SolarWinds được tiết lộ, đã có một cơn lốc tin tức, chi tiết kỹ thuật và phân tích được công bố về vụ hack. Bởi vì lượng thông tin được tung ra trong thời gian ngắn như vậy chắc chắn là quá tải, chúng tôi đã công bố đây là một bản tổng hợp của tin tức về vụ tấn công này.
Trong khi chúng ta đã biết về cuộc tấn công của SolarWind vào ngày 13 tháng 12, tiết lộ đầu tiên về hậu quả của nó đã được đưa ra vào ngày 8 tháng 12 khi công ty an ninh mạng hàng đầu FireEye tiết lộ rằng họ đã bị tấn công bởi một nhóm APT. Là một phần của cuộc tấn công này, các tác nhân đe dọa đã đánh cắp các công cụ đánh giá của Red Team mà FireEye sử dụng để thăm dò tính bảo mật của khách hàng.
Không biết bằng cách nào mà các tin tặc đã truy cập được vào mạng của FireEye cho đến Chủ nhật, ngày 13 tháng 12 năm 2020, khi Microsoft, FireEye, SolarWinds và chính phủ Hoa Kỳ đưa ra một báo cáo phối hợp rằng SolarWinds đã bị tấn công bởi các nhóm hacker do một quốc gia bảo trợ.
Là một phần của cuộc tấn công, các tác nhân đe dọa đã giành được quyền truy cập vào hệ thống xây dựng SolarWinds Orion và thêm một backdoor vào tệp DLL SolarWinds.Orion.Core.BusinessLayer.dll hợp pháp. DLL này sau đó được phân phối cho khách hàng của SolarWinds trong một cuộc tấn công chuỗi cung ứng thông qua một nền tảng cập nhật tự động được sử dụng để đẩy ra các bản cập nhật phần mềm mới.
DLL backdoor này được gọi là SunBurst (FireEye) hoặc Solarigate (Microsoft, và được tải bởi chương trình SolarWinds.BusinessLayerHost.exe. Sau khi được tải, nó sẽ kết nối trở lại máy chủ điều khiển & chỉ huy từ xa tại miền phụ của avsvmcloud[.]Com để nhận “công việc” hoặc nhiệm vụ để thực thi trên máy tính bị nhiễm.
DNS name của máy chủ điều khiển của backdoor được tạo bằng cách sử dụng thuật toán tạo tên miền (DGA) để tạo tên miền phụ được mã hóa của avsvmcloud[.]Com. FireEye tuyên bố rằng miền phụ được tạo bằng cách “nối userId nạn nhân với mã hóa có thể đảo ngược của tên miền máy cục bộ của nạn nhân” và sau đó được băm. Ví dụ: tên miền phụ được sử dụng trong cuộc tấn công này là ‘1btcr12b62me0buden60ceudo1uv2f0i.appsync-api.us-west-2[.]Avsvmcloud.com.’
Không biết những tác vụ nào đã được thực thi, nhưng có thể là bất cứ điều gì từ việc cấp quyền truy cập từ xa cho các tác nhân đe dọa, tải xuống và cài đặt thêm phần mềm độc hại hoặc đánh cắp dữ liệu.
Microsoft đã công bố một bài viết kỹ thuật vào thứ Sáu cho những người quan tâm đến các khía cạnh kỹ thuật của SunBurst backdoor.
Một báo cáo của Kim Zetter được công bố chỉ ra rằng các tác nhân đe dọa có thể đã thực hiện phương thức phân phối vào đầu tháng 10 năm 2019. Trong quá trình dry run này, DLL đã được phân phối mà không có SunBurst backdoor độc hại.
Sau khi các tác nhân đe dọa bắt đầu phát tán backdoor vào tháng 3 năm 2020, các nhà nghiên cứu tin rằng những kẻ tấn công đã âm thầm ngồi trong một số mạng bị xâm nhập trong nhiều tháng khi thu thập thông tin hoặc thực hiện các hoạt động độc hại khác.
Báo cáo của Zetter nói rằng FireEye cuối cùng đã phát hiện ra họ đã bị tấn công sau khi các tác nhân đe dọa đăng ký một thiết bị vào hệ thống xác thực đa yếu tố (MFA) của công ty bằng thông tin đăng nhập bị đánh cắp. Sau khi hệ thống cảnh báo cho nhân viên và đội bảo mật về thiết bị không xác định này, FireEye nhận ra rằng chúng đã bị xâm nhập.
FireEye hiện đang theo dõi tác nhân đe dọa đằng sau chiến dịch này là UNC2452, trong khi công ty an ninh mạng Volexity có trụ sở tại Washington đã liên kết hoạt động này với một tác nhân đe dọa mà nó theo dõi dưới biệt danh Dark Halo.
Volexity nói rằng các hacker của Dark Halo đã phối hợp các chiến dịch độc hại từ cuối năm 2019 đến tháng 7 năm 2020, nhắm mục tiêu và thỏa hiệp thành công cùng một nhóm nghiên cứu có trụ sở tại Hoa Kỳ ba lần liên tiếp.
Công ty cho biết: “Trong sự cố ban đầu, Volexity đã tìm thấy nhiều công cụ, cửa hậu và phần mềm độc hại đã cho phép kẻ tấn công không bị phát hiện trong vài năm”.
Trong cuộc tấn công thứ hai, sau khi bị đuổi khỏi mạng của nạn nhân, Dark Halo đã tận dụng một lỗi máy chủ Microsoft Exchange mới được tiết lộ để giúp họ phá vỡ các biện pháp bảo vệ xác thực đa yếu tố (MFA) Duo để truy cập email trái phép qua dịch vụ Outlook Web App (OWA).
Trong cuộc tấn công thứ ba nhắm vào cùng một nhóm nghiên cứu, kẻ đe dọa đã sử dụng cuộc tấn công chuỗi cung ứng SolarWinds để triển khai cùng một cửa sau Dark Halo được sử dụng để xâm phạm mạng của FireEye và một số cơ quan chính phủ Hoa Kỳ.
Các báo cáo phương tiện truyền thông chưa được xác nhận cũng đã trích dẫn các nguồn liên kết các cuộc tấn công với APT29 (hay còn gọi là Cozy Bear), một nhóm hack do nhà nước bảo trợ có liên quan đến Cơ quan Tình báo Đối ngoại Nga (SVR).
Đại sứ quán Nga tại Hoa Kỳ đã phản ứng với các báo cáo này của phương tiện truyền thông nói rằng chúng là “nỗ lực vô căn cứ của giới truyền thông Hoa Kỳ nhằm đổ lỗi cho Nga về các cuộc tấn công của hacker vào các cơ quan chính phủ Hoa Kỳ”.
“Nga không tiến hành các hoạt động tấn công trong không gian mạng”, Đại sứ quán nói thêm.
Trong khi Nga tiếp tục phủ nhận các cuộc tấn công này, Ngoại trưởng Mike Pompeo đã tuyên bố trong một cuộc phỏng vấn được công bố vào tối thứ Sáu rằng “khá rõ ràng” rằng Nga đứng sau cuộc tấn công đó.
“Đây là một nỗ lực rất đáng kể và tôi nghĩ rằng trường hợp này bây giờ chúng ta có thể nói khá rõ ràng rằng chính người Nga đã tham gia vào hoạt động này,” Pompeo nói với người dẫn chương trình phát thanh Mark Levin.
Các nhà nghiên cứu tin rằng DLL độc hại đã được đẩy ra cho khoảng 18.000 khách hàng như một phần của cuộc tấn công này. Tuy nhiên, các tác nhân đe dọa chỉ nhắm mục tiêu vào các tổ chức mà họ cho là ‘giá trị cao’, vì vậy mặc dù một số khách hàng này có thể đã nhận được DLL, nhưng không biết liệu họ có bị nhắm mục tiêu chủ động trong các cuộc tấn công tiếp theo hay không.
Microsoft cũng đã xác định và thông báo cho hơn 40 khách hàng của họ bị ảnh hưởng bởi cuộc tấn công này nhưng không tiết lộ tên của họ. Họ nói rằng 80% nạn nhân đến từ Hoa Kỳ và 44% là trong lĩnh vực CNTT.
Dựa trên việc giải mã các tên miền phụ được tạo bởi thuật toán tạo tên miền phần mềm độc hại (DGA), nhiều công ty nổi tiếng có thể tiết lộ các cuộc tấn công có chủ đích vào một ngày sau đó.
Kể từ khi cuộc tấn công mạng được tiết lộ, các công ty bảo mật đã thêm các mã nhị phân cửa hậu SunBurst độc hại vào các phát hiện của họ. Mặc dù Microsoft đã phát hiện và cảnh báo khách hàng về các mã nhị phân SolarWinds độc hại, nhưng họ không kiểm dịch chúng vì lo ngại nó có thể ảnh hưởng đến các dịch vụ quản lý mạng của tổ chức.
Microsoft, FireEye và GoDaddy cũng đã hợp tác để tạo ra một công tắc tiêu diệt cho cửa hậu SunBurst được phân phối trong vụ hack SolarWinds.
Khi mã nhị phân độc hại cố gắng liên hệ với máy chủ lệnh & điều khiển, chúng sẽ thực hiện phân giải DNS để lấy địa chỉ IP. Nếu địa chỉ IP này là một phần của các dải IP nhất định, bao gồm các dải IP do Microsoft sở hữu, thì backdoor sẽ chấm dứt và ngăn chính nó thực thi lại.
Để tạo công tắc tiêu diệt, GoDaddy đã tạo độ phân giải DNS ký tự đại diện để bất kỳ miền phụ nào của avsvmcloud [.] Com phân giải thành địa chỉ IP 20.140.0.1, thuộc về Microsoft và nằm trong danh sách chặn của phần mềm độc hại.
Vì địa chỉ IP này là một phần trong danh sách chặn của phần mềm độc hại, nên khi nó kết nối với bất kỳ miền phụ nào của avsvmcloud [.] Com, nó sẽ không tải và không thực thi nữa.
Mặc dù công tắc tiêu diệt này sẽ vô hiệu hóa các triển khai cửa hậu SunBurst kết nối các máy chủ chỉ huy và điều khiển, nhưng FireEye đã tuyên bố rằng các tác nhân đe dọa có thể đã triển khai các cửa hậu khác.
Nếu bạn là người dùng các sản phẩm SolarWinds, bạn nên tham khảo ngay lời khuyên và Câu hỏi thường gặp của họ vì nó chứa thông tin cần thiết về việc nâng cấp lên phiên bản ‘sạch’ mới nhất của phần mềm của họ.
Microsoft cũng đã công bố danh sách mười chín tệp DLL SolarWinds.Orion.Core.BusinessLayer.dll độc hại được phát hiện trong tự nhiên. Danh sách này, được hiển thị bên dưới, chứa hàm băm SHA256 của tệp, phiên bản tệp và thời điểm nó được nhìn thấy lần đầu tiên.
| SHA256 | File Version | Date first seen |
| e0b9eda35f01c1540134aba9195e7e6393286dde3e001fce36fb661cc346b91d | 2020.2.100.11713 | February 2020 |
| a58d02465e26bdd3a839fd90e4b317eece431d28cab203bbdde569e11247d9e2 | 2020.2.100.11784 | March 2020 |
| 32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 | 2019.4.5200.9083 | March 2020 |
| dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b | 2020.2.100.12219 | March 2020 |
| eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed | 2020.2.100.11831 | March 2020 |
| c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77 | Not available | March 2020 |
| ffdbdd460420972fd2926a7f460c198523480bc6279dd6cca177230db18748e8 | 2019.4.5200.9065 | March 2020 |
| b8a05cc492f70ffa4adcd446b693d5aa2b71dc4fa2bf5022bf60d7b13884f666 | 2019.4.5200.9068 | March 2020 |
| 20e35055113dac104d2bb02d4e7e33413fae0e5a426e0eea0dfd2c1dce692fd9 | 2019.4.5200.9078 | March 2020 |
| 0f5d7e6dfdd62c83eb096ba193b5ae394001bac036745495674156ead6557589 | 2019.4.5200.9078 | March 2020 |
| cc082d21b9e880ceb6c96db1c48a0375aaf06a5f444cb0144b70e01dc69048e6 | 2019.4.5200.9083 | March 2020 |
| ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c | 2020.4.100.478 | April 2020 |
| 019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 | 2020.2.5200.12394 | April 2020 |
| ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 | 2020.2.5300.12432 | May 2020 |
| 2b3445e42d64c85a5475bdbc88a50ba8c013febb53ea97119a11604b7595e53d | 2019.4.5200.9078 | May 2020 |
| 92bd1c3d2a11fc4aba2735d9547bd0261560fb20f36a0e7ca2f2d451f1b62690 | 2020.4.100.751 | May 2020 |
| a3efbc07068606ba1c19a7ef21f4de15d15b41ef680832d7bcba485143668f2d | Not available | Not available |
| a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc | 2019.4.5200.8890 | October 2019 |
| d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af | 2019.4.5200.8890 | October 2019 |
Cuối cùng, các nhà nghiên cứu bảo mật đã phát hành các công cụ khác nhau cho phép bạn kiểm tra xem bạn có bị xâm phạm hay không hoặc thông tin đăng nhập nào được lưu trữ trong cài đặt SolarWinds Orion của bạn.
Mã nguồn của cả hai dự án được xuất bản lên GitHub. Chúng tôi rất khuyến khích bạn xem lại mã nguồn, nếu có, của bất kỳ chương trình nào bạn định chạy trên mạng của mình.
Nguồn: The SolarWinds cyberattack: The hack, the victims, and what we know
Nếu bạn vẫn chỉ xem SD-WAN là giải pháp thay thế cho giải pháp WAN chi nhánh của mình, bạn chưa xem xét kỹ lưỡng. Tất nhiên, các tổ chức phân tán vẫn cần một giải pháp linh hoạt và đáng tin cậy để di chuyển dữ liệu, ứng dụng và quy trình làm việc […]
Một phần mềm độc hại Android mới được phát hiện đã được phát hiện tự lan truyền thông qua tin nhắn WhatsApp đến các liên hệ khác để mở rộng, có vẻ như đây nằm trong một chiến dịch adware (phần mềm quảng cáo). Nhà nghiên cứu Lukas Stefanko của ESET cho biết: “Phần mềm […]
SonicWall, một nhà cung cấp bảo mật internet phổ biến về các sản phẩm tường lửa và VPN, vào cuối ngày thứ Sáu đã tiết lộ rằng họ đã trở thành nạn nhân của một cuộc tấn công phối hợp vào các hệ thống nội bộ. Công ty có trụ sở tại San Jose cho […]
