Malwarová invaze na Orion

Jedním z takových je případ z konce loňského roku, kdy vyšlo najevo že software pro vzdálenou správu stanic a serverů SolarWinds Orion byl napaden a útočníci využili jeho schopnosti šířit spustitelný kód a namísto updatů a záplat šířili malware. CISA (Cybersecurity & Infrastructure Security Agency) vydala 13. prosince 2020 direktivu v níž varuje před tímto bezpečnostním rizikem a nařizuje všem federálním úřadům ve Spojených státech okamžitou reakci, kromě okamžité kontroly, zda již nedošlo k útoku, tak také nejčastěji okamžité vypnutí platformy SolarWinds Orion. Seznam napadených institucí je docela impozantní, jsou zde i velmi dobře známá jména jako například US Pentagon, NASA, NSA a další.

Zde si dovolím jednu vsuvku – malware nazvaný Sunburst napadl pouze platformu SolarWinds Orion, avšak žádné produkty z rodiny SolarWinds MSP, jako jsou například i u nás populární SolarWinds MSP N-Central a SolarWinds RMM.

Jak takový útok prostřednictvím bezpečnostního produktu probíhá? Narušení systému SolarWinds Orion se sestává z několika úrovní. Serverová část platformy Orion se pravidelně aktualizuje z aktualizačních serverů. Právě tyto servery byly napadeny útočníky jako první a těm se podařilo na ně umístit škodlivý kód a tím jej zpřístupnit nic netušícím organizacím ke stažení. Po průniku do sítě obětí se útočníci vyhýbali detekci několika způsoby, prvním z nich je pozdržení jakékoliv akce, tedy kód se neaktivoval ihned, ale s odstupem 2 týdnů. Dále byli útočníci schopni kód digitálně podepsat a schovat v knihovně nazvané BusinessLayer.dll. A v neposlední řadě tento kód používá několik technik na detekci, zda není spuštěn v sandboxu. Obvykle mu postačí vyzkoušet „ping“ na známé síťové segmenty pro ověření, zda existují, a také na vlastní „základnu“.

A odtud do cílové destinace

Doposud se jednalo o klasické prolomení do sítě SolarWinds Orion a sítí jeho zákazníků. Avšak v tuto chvíli si musíme uvědomit, že se útočník ocitl doslova ve správnou chvíli na správném místě. Software, jenž je určen pro správu počítačů v síti, jejich aktualizace a instalaci případně deinstalaci aplikací, musí nutně disponovat dostatečně vysokými oprávněními například v podobě lokálního nebo doménového administrátora. A náš útočník má nyní tento software v tuto chvíli plně k dispozici a může tedy do všech zařízení ve spravované síti instalovat jakýkoliv další kód a samozřejmě jej také spouštět. Tím může začít konečná fáze útoku, jež se bude lišit oběť od oběti, útočník se bude rozhodovat dle zjištěných informací, čím pro něj síť oběti bude zajímavá.

Možná si nyní pomyslíte, že být v situaci oběti, tak postačí prosté vypnutí platformy Orion a nebezpečí již nebude hrozit. To však je velký omyl, neboť pokud útočník došel až do té fáze, kdy již plně síť kontroloval, mohl na libovolné další počítače nainstalovat jakýkoliv dodatečný kód a tím pádem ani vypnutí platformy pro správu jej nebezpečí nezbaví. Je třeba jednat proaktivně a proskenovat celou síť na přítomnost nebezpečného kódu.

Vícevrstvá ochrana

Na situaci s kompromitací platformy Orion již zareagovali i ostatní výrobci a například společnost GFI Software přidala do svého produktu GFI LanGuard schopnost detekovat zranitelnosti způsobené touto kompromitací. Ten má velmi podobné schopnosti jako SolarWinds Orion, tedy možnost patch managementu a síťového auditu, ale navíc přidává právě schopnost skenování zranitelností na všech zařízeních v síti.

Nástroje k zajištění IT bezpečnosti jsou čím dál výkonnější a lze s nimi vykonat stále více dobrého, ale bohužel i více špatného. Stejně jako s větší sekerou můžete nasekat více dřeva, ale také se vážněji zranit, tak i s jinak skvělým a efektivním bezpečnostním nástrojem lze způsobit více škod, pokud se dostane do rukou lidem se špatnými úmysly. Na to je třeba neustále myslet a chránit své sítě proti útoků zvenčí i zevnitř s pomocí více bezpečnostních vrstev a procesů.

Michal Hebeda Autor článku je Sales Engineer společnosti ZEBRA SYSTEMS.