Americká Agentúra pre kybernetickú bezpečnosť (CISA) nedávno zverejnila podrobnosti ohľadom konkrétneho útoku nemenovanej APT skupiny. Aktér v ňom skĺbil niekoľko známych zraniteľností.
Útočníci sa do siete pripojili cez vzdialený prístup poskytovaný zraniteľnou Pulse Secure VPN, skompromitovali program SolarWinds Orion, nainštalovali zadné vrátka v podobe malvéru Supernova a zozbierali prístupové údaje do systému.
Pulse Connect aj SolarWinds
Pri zneužití novoobjavenej kritickej zero-day zraniteľnosti v Pulse Connect Secure SSL VPN dokážu aktéri obísť autentifikáciu a spustiť ľubovoľný kód.
„Zraniteľnosti boli zneužité na vniknutie do siete desiatok amerických a európskych vládnych, obranných a finančných organizácií.“
Odborníci CISA odhalili, že útočníci mali pomocou VPN prístup k firemnej sieti už takmer rok. Ešte prekvapujúcejším zistením bol fakt, že používali platné účty s viacfaktorovým overovaním totožnosti. Vydávali sa tak za skutočných zamestnancov pracujúcich na diaľku.
Zadné dvierka Supernova sú zase známe už z predchádzajúcich fáz operácie SolarWinds, výskumníci ich objavili konkrétne v decembri.
Ide o webové rozhranie .NET web shell, ktoré je implementované úpravou kódu jedného z modulov aplikácie SolarWinds Orion. Úpravy umožnila kritická zraniteľnosť, vďaka ktorej sa dala obísť autentifikácia v Orion API.
Stoja za tým Číňania?
CISA zároveň podotýka, že by malo ísť o iných utočníkov, než tých, ktorí boli zodpovední za kampaň SolarWinds. Konkrétneho aktéra však Agentúra nemenovala.
„Organizácie, ktoré nájdu Supernovu vo svojich inštaláciách SolarWinds, by mali s týmto incidentom zaobchádzať ako so samostatným útokom.“
Don Smith z Counter Threat Unit Secureworks však spája útok so skupinou Bronze Spiral, známou tiež ako Tick, ktorá je napojená na Čínu. Podľa Smitha sedí načasovanie, nástroje i taktika, ktoré jeho jednotka zaznamenala v súvislosti s ďalšími dvomi útokmi.
Keďže kampaň stále prebieha, CISA odporúča organizáciám skontrolovať výskyt bežných spustiteľných súborov, nasadiť viacfaktorovú autentifikáciu, nastaviť účtom zodpovedajúce privilégiá, filtrovať nevyžiadané žiadosti o pripojenie či účinnejšie zabezpečiť protokol RDP, určený na vzdialené aktivity.
Jana Tuhrinová