Úgy döntöttem, hogy írok egy cikksorozatot a SolarWinds által elszenvedett támadásról, mert mindenféleképpen tanulságos. Tanulságos abban az értelemben, hogy kiválóan látszik, nem csak a saját rendszereinkre kell figyelemmel lenni, de abban is, hogy soha nem lehetünk biztosak abban, hogy biztonságban vagyunk. Nem is lehetünk, hiszen 100%-os védelem nincs, maximum akkor, ha kikapcsoljuk a számítástechnikai eszközeinket, de akkor a létezésük értelme kérdőjeleződik meg, ráadásul hatékonyságban visszalépünk kb. 7 évtizedet.
Nem célom minden egyes esemény bemutatása, ami a támadáshoz kapcsolódik, mert az olyan erőforrásokat igényelne, amelyekkel sem most nem rendelkezem, sem a jövőben nem fogok, így inkább az információbiztonság szempontjából fontos momentumokat említem meg a kezdetektől a következményekig. A felhasznált forrásokat a Redditen keresztül kerestem meg, de mindenféleképpen megemlítem az oda linkelt cikkek forrásait is.
A támadás során a SUNBURST malware-t is bevetették a támadók. A későbbiek folyamán részletesebben is bemutatom, itt most annyiból fontos számunkra, hogy a malware működése idején C2 (Command-and-Control) viselkedést figyeltek meg a hálózaton. Ez annyit jelent, hogy a malware utasításokat várt az Interneten keresztül. Ez nem új technika, elég régóta használják a különböző magánszervezetek, vagy államilag támogatott (nation-state) támadók. Ami miatt megemlítésre került a malware, hogy a fő C2 domaint már 2018. júliusában bejegyezték - jelen pillanatban nincs adat arról, hogy más támadásban is használták volna. A fő domain többször is regisztrátort váltott, elképzelhető, hogy a domain eredeti tulajdonosai teljesen mások, mint akik a támadást végrehajtották. (A C2 viselkedés egyébként pont az egyik ok, ami miatt fontos a DNS-monitoring.) A fő domain 2020. októbere óta nem oldható fel IP-címre, de számos aldomain még december elején is működött. Az aldomainek is fontos szerepet játszottak: ha az aldomain nem egy belsőleg tárolt IP blokklistára oldódott fel, a C2 modul CNAME rekordot keresett. Később ezt használták C2 műveletekre HTTP kapcsolaton keresztül, de Orion Improvement Program formátumban, hogy elrejtsék a normális Orion kommunikációba. A második szintű C2 rendszerek némelyikét még korábban, 2013-ban és 2014-ben jegyezték be. Noha a nation-state támadóknál sokszor évekre előre terveznek meg behatolásokat, ezek az időpontok túl réginek tűnnek, inkább valószínű a lejárt regisztrációk újraregisztrálása. Így nézett ki tehát a támadók által felépített hálózati infrastruktúra.
Ennyit szerettem volna az első részbe beletenni, az írás forrásanyaga a Domaintools-tól származik.
2021.02.16.
CoreSec