Di John P. Desmond, Redattore di AI Trends
Gli hacker di SolarWinds sembravano avere come obiettivo chiave i servizi cloud mirati, dando loro potenzialmente accesso a molti, se non tutti, i servizi basati su cloud di un'organizzazione.
Questo proviene da un account in GeekWire scritto da Christopher Budd, an iConsulente di sicurezza indipendente che ha lavorato in precedenza nel Security Response Center di Microsoft per 10 anni.
"ISe decodifichiamo i vari rapporti e colleghiamo i punti, possiamo vedere che gli aggressori di SolarWinds hanno sistemi di autenticazione mirati sulle reti compromesse, in modo che possano accedere a servizi basati su cloud come Microsoft Office 365 senza generare allarmi ", ha scritto Budd. "Peggio ancora, il modo in cui lo stanno eseguendo può essere potenzialmente utilizzato per ottenere l'accesso a molti, se non a tutti, i servizi basati su cloud di un'organizzazione".
L'implicazione è che coloro che valutano l'impatto degli attacchi devono guardare non solo ai propri sistemi e reti, ma anche ai loro servizi basati su cloud per le prove di compromissione. E significa che difendersi dagli attacchi significa aumentare la sicurezza e il monitoraggio dei sistemi di autenticazione dei servizi cloud, "d'ora in poi".
Budd ha citato questi punti chiave:
- Dopo aver stabilito un punto d'appoggio in una rete, gli aggressori di SolarWinds prendono di mira i sistemi che rilasciano la prova dell'identità utilizzata dai servizi basati su cloud; e rubano i mezzi utilizzati per rilasciare i documenti di identità;
- Una volta che hanno questa capacità, sono in grado di creare ID falsi che consentono loro di impersonare utenti legittimi o creare account dannosi che sembrano legittimi, inclusi account con accesso amministrativo;
- Poiché gli ID vengono utilizzati per fornire accesso a dati e servizi da account basati su cloud, gli aggressori sono in grado di accedere a dati ed e-mail come se fossero utenti legittimi.
Metodo di autenticazione SAML per servizi cloud visti come mirati
I servizi basati su cloud utilizzano un metodo di autenticazione denominato SAML (Security Assertion Markup Language), che emette un token che è "prova" dell'identità di un utente legittimo per i servizi. Budd ha accertato, sulla base di una serie di post sul blog Microsoft, che il servizio SAML era stato preso di mira. Sebbene questo tipo di attacco sia stato visto per la prima volta nel 2017, "Questo è il primo attacco importante con questo tipo di ampia visibilità che prende di mira i meccanismi di autenticazione basati su cloud", ha affermato Budd.
In risposta a una domanda posta da Budd a Microsoft, se la società fosse venuta a conoscenza di eventuali vulnerabilità che hanno portato a questo attacco, ha ottenuto questa risposta: "Non abbiamo identificato alcuna vulnerabilità di prodotti o servizi cloud Microsoft in queste indagini. Una volta entrato in una rete, l'intruso utilizza il punto d'appoggio per ottenere il privilegio e usa quel privilegio per ottenere l'accesso ".
Una risposta della National Security Administration è stata simile, dicendo che gli aggressori, "abusando dell'autenticazione federata", non stavano sfruttando alcuna vulnerabilità nel sistema di autenticazione Microsoft, "ma piuttosto abusando della fiducia stabilita attraverso i componenti integrati".
Inoltre, sebbene l'attacco SolarWinds sia avvenuto tramite un servizio Microsoft basato su cloud, ha coinvolto lo standard aperto SAML ampiamente utilizzato dai fornitori di servizi basati su cloud, non solo Microsoft. "Gli attacchi SolarWinds e questi tipi di attacchi basati su SAML contro i servizi cloud in futuro possono coinvolgere fornitori SAML e fornitori di servizi cloud non Microsoft", ha affermato Budd.
L'intelligence americana vede un attacco originato dal Cosy Bear russo
I funzionari dell'intelligence americana ritengono che l'attacco abbia avuto origine dalla Russia. Nello specifico, secondo un rapporto di The Economist, il gruppo di aggressori noto come Cosy Bear, pensato per far parte dei servizi segreti russi, era responsabile. "Sembra essere uno dei più grandi atti di spionaggio digitale contro l'America", afferma il racconto.
L'attacco ha dimostrato "Mestiere operativo di alto livello", secondo FireEye, una società di sicurezza informatica che è stata anch'essa una vittima.
L'America ha avuto la tendenza a classificare e rispondere agli attacchi informatici avvenuti nell'ultimo decennio in base agli obiettivi degli aggressori. Ha considerato le intrusioni intese a rubare segreti-spionaggio vecchio stile-come un gioco leale in cui è impegnata anche la US National Security Agency. Ma gli attacchi intesi a causare danni, come l'assalto della Corea del Nord alla Sony Pictures nel 2014 o il furto di segreti industriali da parte della Cina, sono visti come un superamento del limite, suggerisce il resoconto . Pertanto, sono state imposte sanzioni a molti hacker russi, cinesi, nordcoreani e iraniani.
L'attacco dei venti solari sembra aver creato una propria categoria. "Questo sforzo per imprimere norme su un'arena di competizione segreta e caotica non ha avuto successo", il Economista account dichiarato. "Il confine tra spionaggio e sovversione è sfumato."
Un osservatore vede che l'America è diventata meno tollerante nei confronti di "ciò che è consentito nel cyberspazio" dopo l'attacco dell'ufficiale di gestione del personale (OPM) nel 2015. Tale hack ha violato le reti OPM ed esposto i record di 22.1 milioni relativi a dipendenti del governo, altri aveva subito controlli in background, amici e familiari. Gli hacker sponsorizzati dallo stato che lavoravano per conto del governo cinese erano ritenuti responsabili.
"Questo spionaggio su larga scala" sarebbe ora in cima alla lista delle operazioni che riterrebbero inaccettabili ", ha affermato Max Smeets del Center of Security Studies di Zurigo.
Software "locale" visto come più rischioso
Il prodotto SolarWinds Orion è installato "on-prem", il che significa che è installato ed eseguito su computer nei locali dell'organizzazione che utilizzano il software. Tali prodotti comportano rischi per la sicurezza che la leadership IT deve tenere con attenzione valutare, ha suggerito un account recente in settimana elettronica.
Gli aggressori di SolarWinds apparentemente hanno utilizzato una patch software compromessa per ottenere l'accesso, ha suggerito William White, direttore della sicurezza e IT di BigPanda, che offre software AI per rilevare e analizzare i problemi nei sistemi IT. "Con il software in sede, è spesso necessario concedere autorizzazioni elevate o account altamente privilegiati per l'esecuzione del software, il che crea rischi ", ha affermato.
Poiché l'attacco SolarWinds è stato apparentemente eseguito tramite una patch software, "Ironia della sorte, i clienti SolarWinds più esposti sono stati quelli che sono stati effettivamente diligenti nell'installazione delle patch Orion", ha affermato White.
Leggi gli articoli di origine in GeekWire, da The Economist ed in settimana elettronica.
