Security Week 52: управление атакой SunBurst через DNS-запросы

Атака SunBurst (в некоторых источниках также известная как Solorigate) — широко обсуждаемая новость недели. В воскресенье 13 декабря специалисты компании FireEye опубликовали предварительный отчет об атаке, назвав ее глобальной операцией по внедрению в крупные частные и государственные организации. Среди пострадавших — госструктуры США, телеком-провайдеры и некоммерческие организации. Первопричиной атаки стал взлом серверов компании SolarWinds — в ПО производителя, предназначенное для управления и мониторинга IT-инфраструктуры, злоумышленники внедрили вредоносный код.


С марта по июнь этого года вредоносная библиотека с цифровой подписью разработчика раздавалась с серверов обновления SolarWinds и таким образом добралась до 18 тысяч клиентов компании. Зараженный модуль был настроен так, чтобы обеспечить максимальную скрытность, и только избранные жертвы попадали в список для следующей стадии атаки. Набор бэкдоров использовали для шпионажа (а не, скажем, установки шифровальщика с последующим вымогательством). Атакующие анализировали инфраструктуру пострадавших организаций, а также перенаправляли электронные сообщения на свои серверы.

Это сложная таргетированная атака, разбор которой пока лишь начинается: в отчетах FireEye, «Лаборатории Касперского» и Microsoft раскрыта далеко не вся схема работы вредоносного кода. Но определенно это одна из самых успешных атак на цепочку поставок с идеально подобранной точкой входа в корпоративную инфраструктуру.

Источники:

• Отчет компании FireEye: общий обзор таргетированной атаки.
• Отчет Microsoft: более подробный разбор вредоносного кода, распространявшегося с серверов SolarWinds.
• Публикация «Лаборатории Касперского»: разбор схемы работы с командным сервером через DNS-запросы.
• Статья на сайте компании Volexity: примеры PowerShell-кода для распространения по внутренней сети компании-жертвы, возможная связь с более ранними атаками.
• Заявление и FAQ компании SolarWinds об инциденте.
• Новости по теме на сайте Threatpost: о взломе SolarWinds, об обнаружении вредоносного модуля в сетях Microsoft, о пострадавших в госсекторе США (по публикациям СМИ).
  

В октябре этого года в рамках конференц-звонка с инвесторами гендиректор SolarWinds заявил, что ни у одной другой компании нет такого уровня доступа к инфраструктуре большого количества крупных организаций. Это же сделало компанию очевидной целью для взлома. Платформа SolarWinds Orion предназначена для централизованного управления и мониторинга IT-инфраструктуры предприятия, а значит, это ПО имеет практически неограниченный доступ ко всем корпоративным сервисам. Атакующие взломали библиотеку SolarWinds.Orion.Core.BusinessLayer.dll, входящую в состав более десятка программных решений. Файлы с бэкдором несколько месяцев распространялись с официального сервера обновлений вендора и были снабжены легитимной цифровой подписью. Как так вышло, пока точно не известно. Скорее всего, имел место набор уязвимых мест.




Сам вредоносный код написан таким образом, чтобы обеспечить максимальную скрытность — так, первая коммуникация с командным сервером происходит через две недели после установки бэкдора. Общую схему атаки на начальной стадии приводят эксперты компании Microsoft. Используется достаточно интересная технология отбора перспективных жертв: данные от бэкдора отправляются на C&C-сервер в составе DNS-запроса. Если организация представляет интерес, приходит ответный запрос, направляющий бэкдор на второй командный сервер, и уже в процессе взаимодействия с ним идет кража данных. Скорее всего, из 18 тысяч потенциальных жертв на деле пострадали десятки компаний.

В статье экспертов «Лаборатории Касперского» взаимодействие через DNS-запросы разбирается подробнее, в том числе метод шифрования данных. Расшифровка информации позволяет определить сетевой домен реальных жертв. Среди сотни пострадавших в 17 странах, идентифицированных специалистами «Лаборатории Касперского», ни одна не прошла первоначальный фильтр атакующих. Эксперты Microsoft идентифицировали 40 жертв атаки.

Компании, использующие ПО SolarWinds, в данный момент должны получить обновленное ПО от производителя. Набор индикаторов вредоносной активности опубликован на GitHub компании FireEye.