Κρίσιμα Περιστατικά Κυβερνοασφάλειας μέσω της πλατφόρμας SolarWinds Orion

Posted by & filed under Ειδοποιήσεις.

Στις αρχές Δεκεμβρίου ο οργανισμός κυβερνοασφάλειας FireEye είχε πληγεί από επίθεση που επέφερε παραβίαση της ασφάλειας του. Μετά από ανάλυση διαπιστώθηκε ότι η παραβίαση επήλθε ως αποτέλεσμα κακόβουλης ενημέρωσης του λογισμικού της πλατφόρμας διαχείρισης πληροφοριακών συστημάτων (IT) SolarWinds Orion, δηλ. αποτελούσε επίθεση μέσω της εφοδιαστικής αλυσίδας (supply-chain attack).

Ακολουθώντας την κακόβουλη υποδομή, διαπιστώθηκε επίσης ότι ο οργανισμός ήταν μόνο ένας ανάμεσα σε πολλούς άλλους οργανισμούς, θύματα της επίθεσης, οι οποίοι συμπεριελάμβαναν κυβερνητικές και στρατιωτικές υπηρεσίες.

Σε κοινή τους επίσημη δήλωση, οι Αμερικανικές υπηρεσίες FBI, DHS-CISA  και το ODNI (Office of the Director of National Intelligence), επιβεβαίωσαν την παραβίαση των ομοσπονδιακών δικτύων.

Σε σχέση με την απόδοση ευθύνης, η FireEye παρακολουθεί τον συγκεκριμένο επιτιθέμενο (threat actor) με το ουδέτερο όνομα UNC2452. Ωστόσο, στα μέσα ενημέρωσης όλες οι πηγές δείχνουν προς μία γνωστή ομάδα με την ονομασία APT29/Cozy Bear, για την οποία πιστεύεται ότι δέχεται υποστήριξη από την Ρωσική κυβέρνηση.

 

Ευπαθή συστήματα

Λογισμικό SolarWinds© Orion® Platform για εκδόσεις 2019.4 HF5, 2020.2 χωρίς εγκατεστημένο hotfix και 2020.2 HF 1.

 

Μέτρα Προστασίας

  • Εγκατάσταση ενημερώσεων ασφαλείας
    • Αναβάθμιση Orion Platform v2 χωρίς εγκατεστημένο hotfix ή 2020.2 HF 1 στην έκδοση 2020.2.1 HF 2.

Το hotfix 2020.2.1 HF 2 είναι διαθέσιμο από το SolarWinds Customer Portal στον σύνδεσμο customerportal.solarwinds.com.

  • Αναβάθμιση Orion Platform v4 HF 5 στην έκδοση 2019.4 HF 6
  • Ανάλυση και ανακοπή πρόσβασης στους διακομιστές C2 όπως περιγράφεται σε διάφορα συμβουλευτικά έγγραφα και αναλύσεις κακόβουλου λογισμικού. Σημείωση ότι διάφοροι προμηθευτές αναφέρουν επιπρόσθετους Δείκτες Συμβιβασμού (Indicators of Compromise), γι’ αυτό συστήνεται ο έλεγχος όλων των πληροφοριών.

 

Επαναφορά

Η Microsoft δημοσίευσε ανάρτηση στο ιστολόγιο της με θέμα “SolarWinds Post-Compromise Hunting with Azure Sentinel