Από τον John P. Desmond, AI Trends Editor
Οι χάκερ της SolarWinds φάνηκε να στοχεύουν υπηρεσίες cloud ως βασικό στόχο, δίνοντάς τους πιθανώς πρόσβαση σε πολλές, αν όχι όλες, υπηρεσίες cloud-based ενός οργανισμού.
Αυτό προέρχεται από έναν λογαριασμό στο GeekWire γραμμένο από τον Christopher Budd, ένα in ανεξάρτητος σύμβουλος ασφαλείας που εργάστηκε προηγουμένως στο Κέντρο απόκρισης ασφαλείας της Microsoft για 10 χρόνια.
«εγώΑν αποκωδικοποιήσουμε τις διάφορες αναφορές και συνδέουμε τις κουκκίδες μπορούμε να δούμε ότι οι εισβολείς της SolarWinds έχουν στοχευμένα συστήματα ελέγχου ταυτότητας στα παραβιασμένα δίκτυα, έτσι ώστε να μπορούν να συνδεθούν σε υπηρεσίες που βασίζονται σε σύννεφο όπως το Microsoft Office 365 χωρίς να προκαλέσουν συναγερμούς », έγραψε ο Budd. "Το χειρότερο, ο τρόπος με τον οποίο το εκτελούν μπορεί δυνητικά να χρησιμοποιηθεί για να αποκτήσει πρόσβαση σε πολλές, αν όχι σε όλες, υπηρεσίες cloud-based ενός οργανισμού."
Οι συνέπειες είναι ότι όσοι εκτιμούν τον αντίκτυπο των επιθέσεων πρέπει να εξετάσουν όχι μόνο τα δικά τους συστήματα και δίκτυα, αλλά και τις υπηρεσίες τους που βασίζονται σε σύννεφο για αποδείξεις συμβιβασμού. Και αυτό σημαίνει ότι η υπεράσπιση ενάντια σε επιθέσεις σημαίνει αύξηση της ασφάλειας και παρακολούθησης των συστημάτων ελέγχου ταυτότητας υπηρεσιών cloud, «στο εξής».
Ο Budd ανέφερε αυτές τις βασικές επιλογές:
- Αφού καθιερώσει ένα πόδι σε ένα δίκτυο, οι εισβολείς της SolarWinds στοχεύουν τα συστήματα που εκδίδουν απόδειξη ταυτότητας που χρησιμοποιούνται από υπηρεσίες που βασίζονται σε σύννεφο. και κλέβουν τα μέσα που χρησιμοποιούνται για την έκδοση αναγνωριστικών.
- Μόλις έχουν αυτήν την ικανότητα, μπορούν να δημιουργήσουν πλαστά αναγνωριστικά που τους επιτρέπουν να πλαστοπροσωπήσουν νόμιμους χρήστες ή να δημιουργήσουν κακόβουλους λογαριασμούς που φαίνονται νόμιμοι, συμπεριλαμβανομένων λογαριασμών με πρόσβαση διαχειριστή.
- Επειδή τα αναγνωριστικά χρησιμοποιούνται για την παροχή πρόσβασης σε δεδομένα και υπηρεσίες από λογαριασμούς που βασίζονται σε σύννεφο, οι εισβολείς μπορούν να έχουν πρόσβαση σε δεδομένα και μηνύματα ηλεκτρονικού ταχυδρομείου σαν να ήταν νόμιμοι χρήστες.
Μέθοδος ελέγχου ταυτότητας SAML για υπηρεσίες Cloud που έχουν στοχοθετηθεί
Οι υπηρεσίες που βασίζονται σε σύννεφο χρησιμοποιούν μια μέθοδο ελέγχου ταυτότητας που ονομάζεται Security Assertion Markup Language (SAML), η οποία εκδίδει ένα διακριτικό που είναι «απόδειξη» της ταυτότητας ενός νόμιμου χρήστη στις υπηρεσίες. Ο φίλος διαπίστωσε, βάσει μιας σειράς αναρτήσεων στο ιστολόγιο της Microsoft, ότι η υπηρεσία SAML στοχεύτηκε. Ενώ αυτός ο τύπος επίθεσης εμφανίστηκε για πρώτη φορά το 2017, "Αυτή είναι η πρώτη μεγάλη επίθεση με τέτοιου είδους ευρεία ορατότητα που στοχεύει μηχανισμούς ελέγχου ταυτότητας που βασίζονται σε σύννεφο", δήλωσε ο Budd.
Σε απάντηση σε μια ερώτηση που ο Budd έθεσε στη Microsoft, σχετικά με το αν η εταιρεία έμαθε για τυχόν ευπάθειες που οδήγησαν σε αυτήν την επίθεση, έλαβε αυτήν την απάντηση: «Δεν έχουμε εντοπίσει ευπάθειες σε προϊόντα Microsoft ή υπηρεσίες cloud σε αυτές τις έρευνες. Μόλις βρεθεί σε δίκτυο, ο εισβολέας χρησιμοποιεί τότε το πόδι για να αποκτήσει προνόμιο και να χρησιμοποιήσει αυτό το προνόμιο για να αποκτήσει πρόσβαση. "
Μια απάντηση από την Εθνική Αρχή Ασφάλειας ήταν παρόμοια, λέγοντας ότι οι επιτιθέμενοι, «κατάχρηση του ομόσπονδου ελέγχου ταυτότητας», δεν εκμεταλλεύονταν καμία ευπάθεια στο σύστημα ελέγχου ταυτότητας της Microsoft, «αλλά μάλλον κατάχρησαν την εμπιστοσύνη που δημιουργήθηκε στα ενσωματωμένα στοιχεία.»
Επίσης, παρόλο που η επίθεση SolarWinds προήλθε από μια υπηρεσία που βασίζεται σε σύννεφο της Microsoft, περιελάμβανε το ανοιχτό πρότυπο SAML που χρησιμοποιείται ευρέως από προμηθευτές υπηρεσιών που βασίζονται σε σύννεφο και όχι μόνο από τη Microsoft. «Οι επιθέσεις SolarWinds και αυτού του είδους οι επιθέσεις που βασίζονται σε SAML εναντίον υπηρεσιών cloud στο μέλλον μπορούν να περιλαμβάνουν παρόχους SAML που δεν ανήκουν στη Microsoft και παρόχους υπηρεσιών cloud», δήλωσε ο Budd.
Η αμερικανική νοημοσύνη βλέπει επίθεση που προέρχεται από τη φιλόξενη αρκούδα της Ρωσίας
Αμερικανοί αξιωματούχοι πληροφοριών πιστεύουν ότι η επίθεση προήλθε από τη Ρωσία. Συγκεκριμένα, σύμφωνα με έκθεση του The Economist, ήταν υπεύθυνη η ομάδα των επιτιθέμενων γνωστών ως Cozy Bear, που θεωρείται μέρος της υπηρεσίας πληροφοριών της Ρωσίας. «Φαίνεται ότι είναι μια από τις μεγαλύτερες πράξεις ψηφιακής κατασκοπείας κατά της Αμερικής», ανέφερε ο λογαριασμός.
Η επίθεση απέδειξε «Κορυφαίο επιχειρησιακό εμπόριο», σύμφωνα με την FireEye, μια εταιρεία ασφάλειας στον κυβερνοχώρο που ήταν επίσης θύμα.
Η Αμερική τείνει να κατηγοριοποιεί και να ανταποκρίνεται σε επιθέσεις στον κυβερνοχώρο που έγιναν την τελευταία δεκαετία σύμφωνα με τους στόχους των επιτιθέμενων. Έχει θεωρήσει τις εισβολές που προορίζονται να κλέψουν μυστικά-ντεμοντέ κατασκοπεία-ως δίκαιο παιχνίδι στο οποίο συμμετέχει και η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ. Ωστόσο, οι επιθέσεις που προορίζονται να προκαλέσουν βλάβη, όπως η επίθεση της Βόρειας Κορέας στη Sony Pictures το 2014 ή η κλοπή βιομηχανικών μυστικών της Κίνας, θεωρούνται ότι διασχίζουν ένα όριο, σύμφωνα με τον λογαριασμό. . Έτσι, επιβλήθηκαν κυρώσεις σε πολλούς Ρώσους, Κινέζους, Βόρεια Κορέα και Ιρανούς χάκερ.
Η επίθεση Solar Winds φαίνεται να έχει δημιουργήσει τη δική της κατηγορία. «Αυτή η προσπάθεια να σφραγίσουμε τους κανόνες σε μια συγκεκαλυμμένη και χαοτική αρένα ανταγωνισμού ήταν ανεπιτυχής» Οικονομολόγος δηλώνεται λογαριασμός. "Η γραμμή μεταξύ κατασκοπείας και ανατροπής είναι θολή."
Ένας παρατηρητής βλέπει ότι η Αμερική έχει γίνει λιγότερο ανεκτική για το «τι επιτρέπεται στον κυβερνοχώρο» μετά την παραβίαση του Λειτουργού Διαχείρισης Προσωπικού (OPM) το 2015. Αυτό το hack παραβίασε τα δίκτυα OPM και αποκάλυψε τα αρχεία 22.1 εκατομμυρίων που σχετίζονται με κυβερνητικούς υπαλλήλους, άλλοι που είχε υποβληθεί σε ελέγχους ιστορικού και φίλους και οικογένεια. Οι χάκερ που χρηματοδοτούνται από το κράτος που εργάζονται για λογαριασμό της κινεζικής κυβέρνησης θεωρήθηκαν υπεύθυνοι.
«Μια τέτοια κατασκοπεία μεγάλης κλίμακας« θα ήταν τώρα στην κορυφή της λίστας των επιχειρήσεων που θα θεωρούσαν απαράδεκτες », δήλωσε ο Max Smeets του Κέντρου Μελετών Ασφαλείας στη Ζυρίχη.
Το λογισμικό «On-Prem» φαίνεται πιο επικίνδυνο
Το προϊόν SolarWinds Orion είναι εγκατεστημένο "on-prem", που σημαίνει ότι είναι εγκατεστημένο και εκτελείται σε υπολογιστές στις εγκαταστάσεις του οργανισμού χρησιμοποιώντας το λογισμικό. Τέτοια προϊόντα ενέχουν κινδύνους ασφάλειας που πρέπει να προσέξει προσεκτικά η ηγεσία της πληροφορικής αξιολογήσει, πρότεινε έναν πρόσφατο λογαριασμό στο eWeek.
Οι εισβολείς της SolarWinds προφανώς χρησιμοποίησαν μια συμβιβασμένη ενημερωμένη έκδοση κώδικα λογισμικού για να αποκτήσουν είσοδο, πρότεινε ο William White, διευθυντής ασφάλειας και πληροφορικής της BigPanda, ο οποίος προσφέρει λογισμικό AI για τον εντοπισμό και την ανάλυση προβλημάτων σε συστήματα πληροφορικής. «Με το λογισμικό on-prem, συχνά πρέπει να εκχωρήσετε αυξημένα δικαιώματα ή λογαριασμούς με εξαιρετικά προνόμια για την εκτέλεση του λογισμικού, κάτι που δημιουργεί κίνδυνο », δήλωσε.
Επειδή η επίθεση SolarWinds προφανώς εκτελέστηκε μέσω μιας ενημέρωσης κώδικα λογισμικού, "Κατά ειρωνικό τρόπο, οι πιο εκτεθειμένοι πελάτες της SolarWinds ήταν αυτοί που ήταν πραγματικά επιμελείς για την εγκατάσταση ενημερώσεων κώδικα Orion", δήλωσε ο White.
Διαβάστε τα άρθρα προέλευσης στο GeekWire, από The Economist και in eWeek.
