FireEye zgłosiło naruszenie i eksfiltrację narzędzi Red Team. Ostatecznie FireEye zdało sobie sprawę, że włamanie nastąpiło poprzez atak na łańcuch dostaw przeprowadzony przez wszczepienie złośliwego kodu na serwer aktualizacji SolarWinds dla Platformy Orion.
Atak na SolarWinds, nazwany Sunburst, załadował trojana do aktualizacji oprogramowania SolarWinds. Ta złośliwa aktualizacja zainfekowała platformy SolarWinds Orion, naruszając w ten sposób sieci klientów SolarWinds. Wyrafinowanie ataku doprowadziło analityków do stwierdzenia, że zdarzenie cybernetyczne zostało najprawdopodobniej przypisane rosyjskim podmiotom zagrażającym państwom narodowym.W piątek 18 grudnia Microsoft wydał oświadczenie potwierdzające, że jego sieć została naruszona przez aktualizacje złośliwego oprogramowania z SolarWinds. FireEye i Microsoft to dwie z wielu firm dotkniętych atakiem. Organizacje z siedzibą w USA były celem prawie 80% ataków, chociaż dotknęły również organizacje z siedzibą w Belgii, Kanadzie, Izraelu, Meksyku, Hiszpanii i Zjednoczonych Emiratach Arabskich (ZEA). Nie ma doniesień o atakach w Rosji.
W odpowiedzi na ataki w Stanach Zjednoczonych Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury Stanów Zjednoczonych (CISA) wydała zarządzenie awaryjne skierowane do agencji rządowych USA, nakazujące im natychmiastowe odłączenie lub wyłączenie produktów SolarWinds Orion. Amerykańskie agencje rządowe, które do tej pory zostały naruszone, to między innymi Departament Skarbu, Departament Sprawiedliwości, Departament Energii i National Nuclear Security Administration. Pełny zakres ataku nie jest znany. Jest wysoce prawdopodobne, że zostanie odkrytych więcej ofiar, ponieważ szkody spowodowane tym naruszeniem są nadal oceniane i mogą zostać odkryte nowe taktyki, techniki i procedury (TTP).
Atak Sunburst jest bezprecedensowy zarówno pod względem skali, jak i profilu organizacji, której dotyczy.
Wpływ
Zrozumienie wpływu Sunburst może zająć wiele lat. Ponad 17 000 klientów SolarWinds pobrało zainfekowane aktualizacje oprogramowania. W przypadku ataków wymierzonych w branże, takie jak technologia, telekomunikacja, agencje rządowe i firmy konsultingowe, a także firmy naftowe i gazowe, głębokość i zakres następstw włamań i eksfiltracji są nieznane, co skłania do opracowania nowych sposobów łagodzenia tego problemu. rodzaj trwałego zagrożenia.
Zalecenia
Techniki ataków podmiotów cyberzagrożeń, w szczególności podmiotów zagrażających państwom, stają się coraz bardziej zaawansowane. Ten konkretny atak pomaga podkreślić, że organizacje muszą współpracować z dostawcami, aby zapewnić dobre zarządzanie ryzykiem stron trzecich, aby złagodzić zagrożenie cyberatakami. Zapewnienie organizacjom i ich dostawcom struktury bezpieczeństwa, która jest zbudowana z kluczowym składnikiem bezpieczeństwa, może pomóc w osiągnięciu ogólnego programu bezpieczeństwa cybernetycznego, który jest odporny, wytrzymuje ataki lub przynajmniej minimalizuje szkody i utrzymuje koszty odzyskiwania na minimalnym poziomie.
W tej chwili narzędzia FireEye Red Team nie były jeszcze widziane na wolności. Klienci z zainfekowanymi platformami SolarWinds Orion najprawdopodobniej należą do jednej z trzech następujących kategorii:
- Klienci, którzy nie zidentyfikowali zainfekowanego pliku solarwinds.orion.core.businesslayer.dll i którzy muszą załatać swoje systemy przed wznowieniem operacji.
- Klienci, którzy zidentyfikowali zainfekowany plik i ustalili, czy został on przesłany do modułu dowodzenia i kontroli (C2) avsvmcloud [.] Com, czy nie. Klienci ci muszą prowadzić szeroko zakrojone monitorowanie swojej sieci, wyszukiwać wszelkie anomalie, wzmacniać swoje urządzenia, ponownie instalować zaktualizowane oprogramowanie i wznawiać operacje dopiero wtedy, gdy nie zostaną znalezione żadne inne anomalie.
- Klienci, którzy zidentyfikowali zainfekowany plik, potwierdzili, że komunikuje się on z avsvmcloud [.] Com i że komunikuje się z drugim C2, muszą założyć, że ich sieć została przejęta. CISA zaleca całkowitą przebudowę systemu, jeśli naruszenie spowodowało złamanie poświadczeń administracyjnych lub jeśli wykryto nadużycie języka SAML (Security Assertion Markup Language). Jeśli komunikacja z avsvmcloud [.] Com nagle ustała przed 14 grudnia 2020 r., W wyniku braku działań zespołu ds. Bezpieczeństwa cybernetycznego, należy założyć, że sieć została naruszona i niezwłocznie wprowadzić plan reakcji firmy na incydenty.
Naruszenie SolarWinds postawiło organizacje w trudnej sytuacji, jeśli chodzi o próby obrony przed przyszłymi atakami typu Sunburst. Sunburst podszywał się pod legalny plik i został przesłany z zaufanego źródła. Być może najskuteczniejszym sposobem obrony przed tego typu trojanem jest głęboka ochrona, tworzenie warstw ochrony i segmentacja oprogramowania kontrolującego które komputery. Jednak to warstwowe i segmentowe podejście do cyberobrony zwiększyłoby koszty cyberbezpieczeństwa.
Organizacje muszą wziąć pod uwagę, że prawdopodobnie więcej aktorów zagrażających będzie naśladować sukces ataku Sunburst. Niektóre firmy mogą zdecydować się na złagodzenie potencjalnych ataków typu SolarWinds, ograniczając lub eliminując użycie oprogramowania firm trzecich. Może to zmniejszyć koszty zakupu oprogramowania, ale może zwiększyć koszty firmy związane z tworzeniem własnych rozwiązań programowych.
Podsumowując, nie ma jeszcze pewnej ochrony przed pożarem ani reakcji unikalnej dla ataku Sunburst SolarWinds. Każda organizacja musi ocenić swój aktualny stan bezpieczeństwa cybernetycznego i określić najbardziej efektywne i opłacalne sposoby osiągnięcia ogólnej odporności cybernetycznej w przypadku kolejnego ataku typu SolarWinds. Aby uzyskać szczegółowe informacje na temat najlepszych praktyk dotyczących badania incydentów cybernetycznych i łagodzenia ich skutków, zobacz wspólny alert dotyczący podejść technicznych do wykrywania i usuwania złośliwych działań .
https://itreseller.com.pl/itrnewodpowiedzialne-spolecznie-startupy-poszukiwane-rusza-nabor-do-huaweistartupchallenge/
