Amint azt már említettem a Supply chain attack című írásban, az elsődleges célpont a támadás során nem annyira a SolarWinds volt, hanem elsősorban amerikai kormányzati szervezetek rendszerei. Mégis, hogyan történt a célpontok kiválasztása?
A sorozat első részében van egy meglehetősen nehezen érthető mondat: "ha az aldomain nem egy belsőleg tárolt IP blokklistára oldódott fel". Nos, a belsőleg tárolt IP blokklista azt takarja, amit a támadás során használt SUNBURST malware saját maga hordozott. Ha a megtámadott rendszer IP-je benne volt ebben a listában, a SUNBURST leállította magát, ha nem, akkor a CNAME rekordban kereste a további teendőket. Ez a mechanizmus biztosította, hogy a támadók csak a célpontul kiszemelt rendszereket támadhassák, a többinél pedig leállíthassák azt. Ha a folytatés mellett döntöttek, akkor a SUNBURST letöltött további eszközöket is - pl. Cobalt Strike Beacont -, hogy az áldozat folyamatosan kapcsolatban maradjon az elsődleges C2 szerverrel. Itt mindenféleképpen szeretném javítani egy tévedésemet, ugyanis korábban azt hittem, hogy a FireEye bónuszként hullott a támadók ölébe, de a fentiek fényében lehetséges, hogy nem volt ez véletlen.
Noha a Domaintools azt gondolta, hogy a SolarWinds rendszereibe 2019 decemberében hatoltak be először a támadók, a ReversingLabs elemzése rámutat: már 2019 októberében elhelyezték azt a .NET osztályt a forráskódban (!), ami később a hátsó kaput nyitotta. Ennek fényében - jelenleg - a helyes idővonal így nézhet ki:
2019. okóbere előtt: a támadók behatolnak a SolarWinds rendszereibe és hozzáférést szereznek a forráskódokhoz.
2019. október: a forráskód első módosítása teszt jelleggel. A támadók arra kíváncsiak, az általuk végrehajtott módosítás megjelenik-e a terjesztett kódban.
2019. december: a teljes C2 hálózat irányításba vétele.
2020. február: a C2 hálózat működésbe lépése.
2020. március: a backdoor kód meghívása. Mivel ennek a kódnak digitális aláírása egy perccel később megtörtént, ez azt bizonyítja, hogy a támadók hozzáfértek a forrásokhoz, ennyi idő ugyanis nem elég a fordító monitorozására, majd a bináris kicserélésére.
2020. április: az első megfigyelhető passzív DNS kérések, amelyek arra utalnak, hogy az áldozatok a C2 infrával kommunikálnak.
2020. június: az utolsó, módosított SolarWinds kód feltűnése.
2020. december: a SUNBURST kampány lelepleződik.
Látható a fenti idővonalból és az első részben megismert infrastruktúrából, hogy a támadók nagy türelemmel és hozzáértéssel hajtották végre a kampányt. A harmadik részben a fókuszt a támadó lehetséges kilétére helyezem.
Ez a második rész, az írás forrásanyaga a Domaintools-tól és a ReverseLabs-től származik.
2021.02.20.
CoreSec