SolarWinds Cyberattack, Vụ tấn công, nạn nhân và những điều bạn nên biết

SolarWinds Cyberattack: Vụ tấn công, nạn nhân và những điều bạn nên biết

December 22, 2020 | vietsunshine

Kể từ khi cuộc tấn công chuỗi cung ứng SolarWinds được tiết lộ, đã có một cơn lốc tin tức, chi tiết kỹ thuật và phân tích được công bố về vụ hack. Bởi vì lượng thông tin được tung ra trong thời gian ngắn như vậy chắc chắn là quá tải, chúng tôi đã công bố đây là một bản tổng hợp của tin tức về vụ tấn công này.

Thông tin được chắt lọc thành một định dạng hy vọng sẽ giải thích được cuộc tấn công, nạn nhân của nó là ai và những gì chúng ta biết cho đến thời điểm này.

Cuộc tấn công chuỗi cung ứng SolarWinds

Trong khi chúng ta đã biết về cuộc tấn công của SolarWind vào ngày 13 tháng 12, tiết lộ đầu tiên về hậu quả của nó đã được đưa ra vào ngày 8 tháng 12 khi công ty an ninh mạng hàng đầu FireEye tiết lộ rằng họ đã bị tấn công bởi một nhóm APT. Là một phần của cuộc tấn công này, các tác nhân đe dọa đã đánh cắp các công cụ đánh giá của Red Team mà FireEye sử dụng để thăm dò tính bảo mật của khách hàng.

Không biết bằng cách nào mà các tin tặc đã truy cập được vào mạng của FireEye cho đến Chủ nhật, ngày 13 tháng 12 năm 2020, khi Microsoft, FireEye, SolarWinds và chính phủ Hoa Kỳ đưa ra một báo cáo phối hợp rằng SolarWinds đã bị tấn công bởi các nhóm hacker do một quốc gia bảo trợ.

Một trong những khách hàng của SolarWinds đã bị xâm phạm trong cuộc tấn công này là FireEye.

Là một phần của cuộc tấn công, các tác nhân đe dọa đã giành được quyền truy cập vào hệ thống xây dựng SolarWinds Orion và thêm một backdoor vào tệp DLL SolarWinds.Orion.Core.BusinessLayer.dll hợp pháp. DLL này sau đó được phân phối cho khách hàng của SolarWinds trong một cuộc tấn công chuỗi cung ứng thông qua một nền tảng cập nhật tự động được sử dụng để đẩy ra các bản cập nhật phần mềm mới.

SolarWinds supply chain attack

DLL backdoor này được gọi là SunBurst (FireEye) hoặc Solarigate (Microsoft, và được tải bởi chương trình SolarWinds.BusinessLayerHost.exe. Sau khi được tải, nó sẽ kết nối trở lại máy chủ điều khiển & chỉ huy từ xa tại miền phụ của avsvmcloud[.]Com để nhận “công việc” hoặc nhiệm vụ để thực thi trên máy tính bị nhiễm.

DNS name của máy chủ điều khiển của backdoor được tạo bằng cách sử dụng thuật toán tạo tên miền (DGA) để tạo tên miền phụ được mã hóa của avsvmcloud[.]Com. FireEye tuyên bố rằng miền phụ được tạo bằng cách “nối userId nạn nhân với mã hóa có thể đảo ngược của tên miền máy cục bộ của nạn nhân” và sau đó được băm. Ví dụ: tên miền phụ được sử dụng trong cuộc tấn công này là ‘1btcr12b62me0buden60ceudo1uv2f0i.appsync-api.us-west-2[.]Avsvmcloud.com.’

Không biết những tác vụ nào đã được thực thi, nhưng có thể là bất cứ điều gì từ việc cấp quyền truy cập từ xa cho các tác nhân đe dọa, tải xuống và cài đặt thêm phần mềm độc hại hoặc đánh cắp dữ liệu.

Microsoft đã công bố một bài viết kỹ thuật vào thứ Sáu cho những người quan tâm đến các khía cạnh kỹ thuật của SunBurst backdoor.

Một báo cáo của Kim Zetter được công bố chỉ ra rằng các tác nhân đe dọa có thể đã thực hiện phương thức phân phối vào đầu tháng 10 năm 2019. Trong quá trình dry run này, DLL đã được phân phối mà không có SunBurst backdoor độc hại.

Sau khi các tác nhân đe dọa bắt đầu phát tán backdoor vào tháng 3 năm 2020, các nhà nghiên cứu tin rằng những kẻ tấn công đã âm thầm ngồi trong một số mạng bị xâm nhập trong nhiều tháng khi thu thập thông tin hoặc thực hiện các hoạt động độc hại khác.

Báo cáo của Zetter nói rằng FireEye cuối cùng đã phát hiện ra họ đã bị tấn công sau khi các tác nhân đe dọa đăng ký một thiết bị vào hệ thống xác thực đa yếu tố (MFA) của công ty bằng thông tin đăng nhập bị đánh cắp. Sau khi hệ thống cảnh báo cho nhân viên và đội bảo mật về thiết bị không xác định này, FireEye nhận ra rằng chúng đã bị xâm nhập.

Các tin tặc đứng sau cuộc tấn công SolarWinds

FireEye hiện đang theo dõi tác nhân đe dọa đằng sau chiến dịch này là UNC2452, trong khi công ty an ninh mạng Volexity có trụ sở tại Washington đã liên kết hoạt động này với một tác nhân đe dọa mà nó theo dõi dưới biệt danh Dark Halo.

Volexity nói rằng các hacker của Dark Halo đã phối hợp các chiến dịch độc hại từ cuối năm 2019 đến tháng 7 năm 2020, nhắm mục tiêu và thỏa hiệp thành công cùng một nhóm nghiên cứu có trụ sở tại Hoa Kỳ ba lần liên tiếp.

Công ty cho biết: “Trong sự cố ban đầu, Volexity đã tìm thấy nhiều công cụ, cửa hậu và phần mềm độc hại đã cho phép kẻ tấn công không bị phát hiện trong vài năm”.

Trong cuộc tấn công thứ hai, sau khi bị đuổi khỏi mạng của nạn nhân, Dark Halo đã tận dụng một lỗi máy chủ Microsoft Exchange mới được tiết lộ để giúp họ phá vỡ các biện pháp bảo vệ xác thực đa yếu tố (MFA) Duo để truy cập email trái phép qua dịch vụ Outlook Web App (OWA).

Trong cuộc tấn công thứ ba nhắm vào cùng một nhóm nghiên cứu, kẻ đe dọa đã sử dụng cuộc tấn công chuỗi cung ứng SolarWinds để triển khai cùng một cửa sau Dark Halo được sử dụng để xâm phạm mạng của FireEye và một số cơ quan chính phủ Hoa Kỳ.

Các báo cáo phương tiện truyền thông chưa được xác nhận cũng đã trích dẫn các nguồn liên kết các cuộc tấn công với APT29 (hay còn gọi là Cozy Bear), một nhóm hack do nhà nước bảo trợ có liên quan đến Cơ quan Tình báo Đối ngoại Nga (SVR).

Đại sứ quán Nga tại Hoa Kỳ đã phản ứng với các báo cáo này của phương tiện truyền thông nói rằng chúng là “nỗ lực vô căn cứ của giới truyền thông Hoa Kỳ nhằm đổ lỗi cho Nga về các cuộc tấn công của hacker vào các cơ quan chính phủ Hoa Kỳ”.

“Nga không tiến hành các hoạt động tấn công trong không gian mạng”, Đại sứ quán nói thêm.

Trong khi Nga tiếp tục phủ nhận các cuộc tấn công này, Ngoại trưởng Mike Pompeo đã tuyên bố trong một cuộc phỏng vấn được công bố vào tối thứ Sáu rằng “khá rõ ràng” rằng Nga đứng sau cuộc tấn công đó.

“Đây là một nỗ lực rất đáng kể và tôi nghĩ rằng trường hợp này bây giờ chúng ta có thể nói khá rõ ràng rằng chính người Nga đã tham gia vào hoạt động này,” Pompeo nói với người dẫn chương trình phát thanh Mark Levin.

Các nạn nhân của vụ tấn công

Các nhà nghiên cứu tin rằng DLL độc hại đã được đẩy ra cho khoảng 18.000 khách hàng như một phần của cuộc tấn công này. Tuy nhiên, các tác nhân đe dọa chỉ nhắm mục tiêu vào các tổ chức mà họ cho là ‘giá trị cao’, vì vậy mặc dù một số khách hàng này có thể đã nhận được DLL, nhưng không biết liệu họ có bị nhắm mục tiêu chủ động trong các cuộc tấn công tiếp theo hay không.

Microsoft cũng đã xác định và thông báo cho hơn 40 khách hàng của họ bị ảnh hưởng bởi cuộc tấn công này nhưng không tiết lộ tên của họ. Họ nói rằng 80% nạn nhân đến từ Hoa Kỳ và 44% là trong lĩnh vực CNTT.

Dựa trên việc giải mã các tên miền phụ được tạo bởi thuật toán tạo tên miền phần mềm độc hại (DGA), nhiều công ty nổi tiếng có thể tiết lộ các cuộc tấn công có chủ đích vào một ngày sau đó.

Decoded backdoor command & control server subdomains

Các công ty bảo mật đang làm gì để bảo vệ nạn nhân

Kể từ khi cuộc tấn công mạng được tiết lộ, các công ty bảo mật đã thêm các mã nhị phân cửa hậu SunBurst độc hại vào các phát hiện của họ. Mặc dù Microsoft đã phát hiện và cảnh báo khách hàng về các mã nhị phân SolarWinds độc hại, nhưng họ không kiểm dịch chúng vì lo ngại nó có thể ảnh hưởng đến các dịch vụ quản lý mạng của tổ chức.

Microsoft, FireEye và GoDaddy cũng đã hợp tác để tạo ra một công tắc tiêu diệt cho cửa hậu SunBurst được phân phối trong vụ hack SolarWinds.

Khi mã nhị phân độc hại cố gắng liên hệ với máy chủ lệnh & điều khiển, chúng sẽ thực hiện phân giải DNS để lấy địa chỉ IP. Nếu địa chỉ IP này là một phần của các dải IP nhất định, bao gồm các dải IP do Microsoft sở hữu, thì backdoor sẽ chấm dứt và ngăn chính nó thực thi lại.

Để tạo công tắc tiêu diệt, GoDaddy đã tạo độ phân giải DNS ký tự đại diện để bất kỳ miền phụ nào của avsvmcloud [.] Com phân giải thành địa chỉ IP 20.140.0.1, thuộc về Microsoft và nằm trong danh sách chặn của phần mềm độc hại.

Wildcard DNS resolution

Vì địa chỉ IP này là một phần trong danh sách chặn của phần mềm độc hại, nên khi nó kết nối với bất kỳ miền phụ nào của avsvmcloud [.] Com, nó sẽ không tải và không thực thi nữa.

Mặc dù công tắc tiêu diệt này sẽ vô hiệu hóa các triển khai cửa hậu SunBurst kết nối các máy chủ chỉ huy và điều khiển, nhưng FireEye đã tuyên bố rằng các tác nhân đe dọa có thể đã triển khai các cửa hậu khác.

Cách kiểm tra xem bạn có bị xâm phạm hay không

Nếu bạn là người dùng các sản phẩm SolarWinds, bạn nên tham khảo ngay lời khuyên và Câu hỏi thường gặp của họ vì nó chứa thông tin cần thiết về việc nâng cấp lên phiên bản ‘sạch’ mới nhất của phần mềm của họ.

Microsoft cũng đã công bố danh sách mười chín tệp DLL SolarWinds.Orion.Core.BusinessLayer.dll độc hại được phát hiện trong tự nhiên. Danh sách này, được hiển thị bên dưới, chứa hàm băm SHA256 của tệp, phiên bản tệp và thời điểm nó được nhìn thấy lần đầu tiên.

SHA256 File Version Date first seen
e0b9eda35f01c1540134aba9195e7e6393286dde3e001fce36fb661cc346b91d 2020.2.100.11713 February 2020
a58d02465e26bdd3a839fd90e4b317eece431d28cab203bbdde569e11247d9e2 2020.2.100.11784 March 2020
32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77 2019.4.5200.9083 March 2020
dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b 2020.2.100.12219 March 2020
eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed 2020.2.100.11831 March 2020
c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77 Not available March 2020
ffdbdd460420972fd2926a7f460c198523480bc6279dd6cca177230db18748e8 2019.4.5200.9065 March 2020
b8a05cc492f70ffa4adcd446b693d5aa2b71dc4fa2bf5022bf60d7b13884f666 2019.4.5200.9068 March 2020
20e35055113dac104d2bb02d4e7e33413fae0e5a426e0eea0dfd2c1dce692fd9 2019.4.5200.9078 March 2020
0f5d7e6dfdd62c83eb096ba193b5ae394001bac036745495674156ead6557589 2019.4.5200.9078 March 2020
cc082d21b9e880ceb6c96db1c48a0375aaf06a5f444cb0144b70e01dc69048e6 2019.4.5200.9083 March 2020
ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c 2020.4.100.478 April 2020
019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134 2020.2.5200.12394 April 2020
ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6 2020.2.5300.12432 May 2020
2b3445e42d64c85a5475bdbc88a50ba8c013febb53ea97119a11604b7595e53d 2019.4.5200.9078 May 2020
92bd1c3d2a11fc4aba2735d9547bd0261560fb20f36a0e7ca2f2d451f1b62690 2020.4.100.751 May 2020
a3efbc07068606ba1c19a7ef21f4de15d15b41ef680832d7bcba485143668f2d Not available Not available
a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc 2019.4.5200.8890 October 2019
d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af 2019.4.5200.8890 October 2019

Cuối cùng, các nhà nghiên cứu bảo mật đã phát hành các công cụ khác nhau cho phép bạn kiểm tra xem bạn có bị xâm phạm hay không hoặc thông tin đăng nhập nào được lưu trữ trong cài đặt SolarWinds Orion của bạn.

Mã nguồn của cả hai dự án được xuất bản lên GitHub. Chúng tôi rất khuyến khích bạn xem lại mã nguồn, nếu có, của bất kỳ chương trình nào bạn định chạy trên mạng của mình.

Nguồn: The SolarWinds cyberattack: The hack, the victims, and what we know

Tags: , ,