Az előző rész végén megígértem, hogy beszélek egy kicsit a lehetséges támadókról. Noha van néhány lehetséges jelölt, a jelek egy irányba mutatnak.
Ott tettem le a fonalat, hogy megismerkedünk a lehetséges támadókkal. Noha sok is lehetne belőlük, a SolarWinds elleni támadás elsősorban kémkedési művelet. A támadók - ha nagyon akarták volna - iszonyú károkat okozhattak volna az áldozatoknak. Mivel azonban - eddig - semmilyen szervezet nem jelezte, hogy a támadás oldalvizein például váltságdíjat követeltek tőlük, bátran kijelenthető, hogy a támadás célja elsősorban információszerzés volt. A fertőzést elszenvedett áldozatok listája kevésbé segít: a SolarWinds jelentése még decemberből több, mint 18000 ismert szervezetet tartalmaz, akik letöltötték a fertőzött kódot, akik mindenféle piacról és országból érkeznek. Kicsit többet segít, ha azt vesszük figyelembe, milyen információkat szereztek meg a támadók. Ezek például Microsoft kódok, kiberfegyverek a FireEye-tól, de betörést észleltek amerikai kormányzati/katonai rendszereken, a jelentős IT szereplők gépein is (VMWare, Palo Alto, Cisco, Intel, Nvidia és még sokan mások...).
Ilyen méretű támadást kivitelezni és gondosan végrehajtani nagyon kevesen tudnak, a két "versenyben maradt" jelölt Oroszország és Kína - ámbátor utóbbiak ki-be járkálnak az amerikai rendszerekben. Az orosz vonal érdekes: ahány szereplő eddig megszólalt, mindenki mást mondott. APT29, SVR, Cozy Bear, YTTRIUM és még mindahány név a naptárban. Jellemzően az amerikai kormányzati szervezetek hivatkoznak a támadókra APT29 néven, akiket összekapcsolnak az orosz titkosszolgálatokkal (SVR, FSB). Az egészen biztosan kijelenthető, hogy a támadók állami háttérrel rendelkeznek - a "magán" szervezetekre nem jellemző profil az ilyen mértékű kiterjedtség, ők gyakrabban utaznak inkább pénzben sokkal hamarabb kifejezhető profitban. A megszerzett információkat rendszerezni, tárolni és elemezni kell felhasználás előtt - ez szintén az állami háttérre mutat.
Természetesen 100%-os információ nincs és nem is lesz - sosem fog kiderülni, hogy pontosan ki és kik követték el a támadást.
A sok csatazaj után a következő írásban szemügyre veszem, hogyan lehet felkészülni a hasonló jellegű támadásokra. Témának ugyan adja magát az Exchange-balhé, de akkor már kicsit zavarosabb lenne visszatérni ehhez a témához.
2021.03.22.
CoreSec