V dobe, keď čítate tento článok, informácie o najnovších supply chain útokoch prešli aj mainstreamovými médiami a každý už vie, že sme svedkami jedného z najzávažnejších kybernetických útokov za minimálne poslednú dekádu. Môžeme debatovať o tom, či špionáž napĺňa definíciu kybernetického útoku, alebo nie, na čom sa však zhodneme je, že rozsah kompromitácie patrí skôr do špionážnych filmov z konca minulého storočia, než do reality roku 2020.
Najprv FireEye, jedna z najlepších kyberbezpečnostných firiem na svete, potom americké ministerstvá, Pentagon, jadrové laboratória v Los Alamos, Microsoft, Cisco – toto je len krátky výčet najdôležitejších obetí supply chain útoku cez softvér na prevádzkový monitoring Orion od spoločnosti Solarwinds. Pre krátke opáčko pripomeniem, že supply chain útok je vlastne útok cez dôveryhodného dodávateľa, v prípade softvéru dokážu útočníci „prepašovať“ do legitímného softvéru svoj škodlivý kód. V tomto konkrétnom prípade útočníci napadli spoločnosť Solarwinds a do kódu softvéru Orion dokázali pridať svoj kód s backdoorom. Následne bol po aktualizácii tohto softvéru u zákazníka tento backdoor spustený a umožnil útočníkom prístup do infraštruktúry zákazníka, ktorý softvér používal.
Niečo podobné sme už videli niekoľkokrát, spomeňme napr. supply chain útok cez CCleaner alebo útoky malvérom NotPetya, ktorý bol šírený cez hacknuté updaty účtovného softvéru MeDoc. Až ironicky vyznieva to, že Solarwinds Orion je platforma využívaná najmä na prevádzkový monitoring a správu sieťovej infraštruktúry, aplikácii, cloudových aktív apod. Najnovšie sa ukazuje, že aktualizácie, ktoré obsahovali backdoor boli distribuované medzi marcom a júnom 2020, útočníci však boli v sieti Solarwinds už v októbri 2019. Vďaka tomu mohli úspešne analyzovať kód napadnutej platformy a nepozorovane doňho vložiť backdoor, ktorý si následne pri aktualizácii stiahli dôverčiví zákazníci a tým umožnili útočníkom prístup do svojej infraštruktúry, častokrát spolu s privilegovanými účtami, ktoré boli vyžadované niektorými súčasťami Orion platformy.
Predstavte si seba v pozícii obete. V softvéri, ktorý má prístup pod privilegovanými účtami ku všetkým aktívam vo vašej infraštruktúre je backdoor. Dozviete sa o tom po minimálne 3 mesiacoch. Celkom hrozivé, však? Ako tomu predísť?
Obávam sa, že zo strany klienta len veľmi ťažko. Tento typ útokov využíva našu dôveru voči softvéru tretích strán – od knižníc, ktoré využívame v našom kóde, cez rôzne bežné programy a hry až po veľké softvérové riešenia od prestížnych firiem, ako napr. Orion. Vždy veríme, že majú kontrolu nad kódom a dávajú pozor na to, aby nás nič nemohlo ohroziť a na overenie zabezpečenia, najmä proprietárneho, softvéru máme častokrát veľmi obmedzené prostriedky. Máme teda len čakať na „ranu z milosti“ a báť sa dňa, kedy takýto útok zasiahne aj nás? Nie nutne, nakoľko existujú postupy a technológie, ktoré tomu dokážu na stráne dodávateľa zabrániť, je len potrebné takéto zabezpečenie od dodávateľov vyžadovať a podľa možností overovať.
Druhou možnosťou, ako sa s rizikom supply chain útoku aspoň čiastočne vysporiadať, je dôkladný bezpečnostný dohľad. Spoločnosť FireEye, ktorá tento útok detekovala, to dokázala práve na základe prvotného podnetu zo svojho SOCu – bezpečnostného dohľadového centra, ktoré detekovalo podozrivé operácie s nastavením viacfaktorovej autentizácie u jedného zamestnaneckého účtu. Útočníkom to síce nezabránilo dostať sa do siete (prístup mali cez backdoor v Solarwinds Orion), ale vďaka SOCu vo FireEye dokázali tento útok detekovať a mohli naňho reagovať.
Supply chain útoky sú len jedným z mnohých typov útokov, ktoré sledujeme, detekujeme a riešime v našom SOCu. Radi pomôžeme aj vám!
Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.