[ ПРОЛОГ · ШПИОНАЖ · 2020 ]
SolarWinds: Чёрный лебедь цепочки поставок
Компания, которая сама охотится на хакеров, обнаружила хакеров у себя внутри. А потом поняла: те же люди сидят ещё в 18 000 организациях по всему миру — включая Пентагон и Microsoft.
Обнаружено: декабрь 2020·~9 мин чтения·
supply chainCozy BearAPT29кибершпионаж
Декабрь 2020 года. Аналитики компании FireEye — одной из самых уважаемых фирм по кибербезопасности в мире, той самой, которую нанимают расследовать самые громкие взломы планеты — замечают что-то странное в собственной инфраструктуре. Кто-то использует их внутренние сертификаты для подписи кода, который они не создавали.
Это тревожный звонок, и его невозможно игнорировать. FireEye начинает внутреннее расследование — и находит чужих в собственных системах. Компанию, которая ловит хакеров для всего мира, саму взломали.
Они начинают копать глубже, пытаясь понять, как незваные гости попали внутрь. И находят кое-что, от чего у всей команды холодеет.
Те же хакеры сидят внутри 18 000 других организаций по всему миру.
КАК ОДНА ДЫРКА ОТКРЫЛА 18 000 ДВЕРЕЙ
Ответ лежал в неожиданном месте — SolarWinds Orion, скучной, но критически важной платформе для управления IT-инфраструктурой. Её используют системные администраторы по всему миру, чтобы следить за серверами, сетями и приложениями. Среди клиентов: правительство США, компании из списка Fortune 500, спецслужбы, военные подрядчики.
33 000 организаций пользовались Orion. Хакеры не пытались взломать каждую из них напрямую — это заняло бы вечность. Вместо этого они взломали одного поставщика, чьему коду доверяли все.
// КАК РАБОТАЛА АТАКА НА ЦЕПОЧКУ ПОСТАВОК
ЭТАП 01
Взлом инфраструктуры разработки SolarWinds
Хакеры проникли в среду компиляции продукта Orion. Не в готовый продукт — в сам процесс его сборки.
build environment compromise → CI/CD pipeline
ЭТАП 02
Внедрение бэкдора SUNBURST
Вредоносный код встроили прямо в исходники Orion перед сборкой. Финальный файл подписали официальным сертификатом SolarWinds.
SUNBURST malware → legitimate digital signature
ЭТАП 03
Массовая дистрибуция через автообновление
33 000 клиентов получили заражённое обновление через штатный механизм автообновлений. Антивирусы пропускали файл — подпись валидна, сервер легитимен.
trusted update channel → bypass AV/EDR
ЭТАП 04
Дремлющий период — до 2 недель
SUNBURST активировался только спустя 12–14 дней после установки, чтобы избежать обнаружения автоматическими системами тестирования и песочницами.
dormant period: 12-14 days → sandbox evasion
ЭТАП 05
Селективная активация
Из 18 000 заражённых организаций хакеры активно атаковали лишь несколько десятков самых ценных целей. Остальные просто игнорировались.
18,000 infected → ~100 actively targeted
// ПОЧЕМУ ЭТО ТАК СЛОЖНО ОБНАРУЖИТЬ
Подпись производителя — основа доверия в IT-безопасности. Антивирусы, EDR-системы, политики безопасности компаний — все они «доверяют» файлам с валидной цифровой подписью известного вендора. SolarWinds атака использовала именно этот механизм доверия как оружие: код был технически легитимным, просто содержал бэкдор внутри.
КТО ОКАЗАЛСЯ ЖЕРТВОЙ
// MICROSOFT
Прочитаны письма топ-менеджеров
// FIREEYE
Украдены red-team инструменты
// ГОСДЕП США
Доступ к внутренней почте
// МИНФИН США
Месяцы незаметного доступа
// SANDIA LAB
Ядерное оружие, исследования
// NASA
Космическая программа
Особенно болезненным оказался взлом FireEye — компании, которая зарабатывает на том, что находит хакеров для других. У них украли инструменты red team — программы, которые сама FireEye использует для тестирования защиты клиентов через имитацию атак. Это всё равно что украсть отмычки у мастера, который учит банки защищаться от взлома.
«Если нельзя доверять обновлению ПО — нельзя доверять вообще ничему.»
— из отраслевого анализа после раскрытия SolarWinds, декабрь 2020
ХРОНОЛОГИЯ
Сентябрь 2019
Первое проникновение в сеть SolarWinds
По оценкам расследователей — именно тогда хакеры впервые получили доступ к инфраструктуре разработки компании.
Февраль–март 2020
Внедрение SUNBURST
Вредоносный код встроен в сборку Orion. Заражённое обновление начинает распространяться среди клиентов по всему миру.
Март–декабрь 2020
9 месяцев незаметного присутствия
Хакеры находятся внутри тысяч сетей. Большинство организаций даже не подозревают о компрометации. Выборочная кража данных у ключевых целей.
8 декабря 2020
FireEye обнаруживает взлом самой себя
Аналитики замечают аномальное использование внутренних сертификатов компании. Начинается расследование, которое раскроет масштаб всей операции.
13 декабря 2020
Публичное раскрытие
FireEye и SolarWinds публикуют совместное заявление. Масштаб атаки становится известен общественности. Акции SolarWinds падают на 30% за неделю.
Май 2021
Байден подписывает Executive Order 14028
Указ вводит новые обязательные стандарты кибербезопасности для всех поставщиков федерального правительства США.
МАСШТАБ КОМПРОМЕТАЦИИ
// SOLARWINDS: ЦИФРЫ
Клиентов SolarWinds Orion
33 000
Получили заражённое обновление
18 000
Потеря капитализации SolarWinds
−30% за неделю
АВТОРСТВО
Расследование американских спецслужб привело к одному выводу: APT29, также известная как Cozy Bear — группировка, связанная со Службой внешней разведки России (СВР). Та же команда, которую обвиняют во взломе Национального комитета Демократической партии в 2016 году.
В отличие от атак на разрушение (NotPetya, Stuxnet) или вымогательство (WannaCry), SolarWinds — классический шпионаж. Цель — не уничтожить и не заработать, а тихо собирать информацию максимально долго, оставаясь незамеченным.
