작성자 : John P. Desmond (AI 트렌드 편집자)
SolarWinds 해커는 클라우드 서비스를 핵심 목표로 삼아 잠재적으로 조직의 클라우드 기반 서비스의 전부는 아니더라도 많은 액세스 권한을 부여한 것으로 보입니다.
이것은의 계정에서 가져온 것입니다. GeekWire Christopher Budd에 의해 작성된 i이전에 Microsoft의 보안 대응 센터에서 10 년 동안 근무한 독립 보안 컨설턴트.
"다양한 보고서를 해독하고 점을 연결하면 SolarWinds 공격자가 손상된 네트워크에서 인증 시스템을 표적으로 삼았으므로 경보를 울리지 않고 Microsoft Office 365와 같은 클라우드 기반 서비스에 로그인 할 수 있습니다.”라고 Budd는 썼습니다. "더욱 안타깝게도, 그들이이 작업을 수행하는 방식이 잠재적으로 조직의 클라우드 기반 서비스의 전부는 아니더라도 많은 액세스 권한을 얻는 데 사용될 수 있습니다."
그 의미는 공격의 영향을 평가하는 사람들은 자신의 시스템과 네트워크뿐만 아니라 손상의 증거를 찾기 위해 클라우드 기반 서비스도 살펴 봐야한다는 것입니다. 그리고 공격으로부터 방어한다는 것은 "지금부터"클라우드 서비스 인증 시스템의 보안 및 모니터링을 강화하는 것을 의미합니다.
Budd는 다음과 같은 핵심 사항을 인용했습니다.
- 네트워크에 발판을 마련한 후 SolarWinds 공격자는 클라우드 기반 서비스에서 사용하는 신원 증명을 발행하는 시스템을 표적으로 삼습니다. 그리고 그들은 신분증 발급에 사용 된 수단을 훔칩니다.
- 이 기능이 있으면 합법적 인 사용자로 가장 할 수있는 가짜 ID를 만들거나 관리 액세스 권한이있는 계정을 포함하여 합법적으로 보이는 악의적 인 계정을 만들 수 있습니다.
- ID는 클라우드 기반 계정에서 데이터 및 서비스에 대한 액세스를 제공하는 데 사용되기 때문에 공격자는 합법적 인 사용자 인 것처럼 데이터와 이메일에 액세스 할 수 있습니다.
대상으로 표시된 클라우드 서비스에 대한 SAML 인증 방법
클라우드 기반 서비스는 SAML (Security Assertion Markup Language)이라는 인증 방법을 사용하는데, 이는 합법적 인 사용자의 ID를 서비스에 "증명"하는 토큰을 발행합니다. Budd는 Microsoft 블로그에 게시 된 일련의 게시물을 기반으로 SAML 서비스가 대상임을 확인했습니다. 이러한 유형의 공격은 2017 년에 처음 발견되었지만 "클라우드 기반 인증 메커니즘을 대상으로하는 이러한 종류의 광범위한 가시성을 가진 최초의 주요 공격"이라고 Budd는 말했습니다.
Budd가 Microsoft에이 공격을 유발 한 취약점을 알게되었는지 여부에 대한 질문에 대해 그는 다음과 같은 응답을 받았습니다.“이 조사에서 Microsoft 제품 또는 클라우드 서비스 취약점을 확인하지 못했습니다. 일단 네트워크에 들어가면 침입자는 발판을 사용하여 권한을 얻고 해당 권한을 사용하여 액세스합니다.”
국가 안보국의 응답은 "연합 인증을 남용"함으로써 공격자들이 Microsoft 인증 시스템의 취약점을 악용하는 것이 아니라 "통합 구성 요소 전반에 걸쳐 확립 된 신뢰를 악용"했다고 밝혔습니다.
또한 SolarWinds 공격은 Microsoft 클라우드 기반 서비스를 통해 발생했지만 Microsoft뿐만 아니라 클라우드 기반 서비스 공급 업체에서 널리 사용하는 SAML 개방형 표준이 포함되었습니다. Budd는“향후 클라우드 서비스에 대한 SolarWinds 공격과 이러한 종류의 SAML 기반 공격에는 타사 SAML 제공 업체와 클라우드 서비스 제공 업체가 포함될 수 있습니다.
미국 정보국, 러시아의 아늑한 곰에서 발생한 공격 확인
미국 정보 관리들은 공격이 러시아에서 비롯된 것이라고 믿습니다. 특히 보고서에 따르면 이코노미 스트, 러시아 정보 기관의 일부로 생각되는 Cozy Bear로 알려진 공격자 그룹이 책임을졌습니다. "그것은 미국에 대한 사상 최대의 디지털 스파이 행위 중 하나 인 것 같습니다."
시연 된 공격 사이버 보안 회사 인 FireEye에 따르면 "최고 수준의 운영 트레이드 크래프트"라고합니다.
미국은 공격자의 목표에 따라 지난 XNUMX 년 동안 발생한 사이버 공격을 분류하고 대응하는 경향이 있습니다. 비밀을 훔치려는 침입으로 간주했습니다.-구식 스파이 활동-그러나 2014 년 북한의 소니 픽처스 공격이나 중국의 산업 기밀 도난 등 피해를 입히려는 공격은 선을 넘은 것으로 보인다. . 따라서 많은 러시아, 중국, 북한 및이란 해커에게 제재가 부과되었습니다.
Solar Winds 공격은 자체 범주를 만든 것으로 보입니다. "규범을 은밀하고 혼란스러운 경쟁의 장에 밀어 넣으려는 이러한 노력은 성공하지 못했습니다." 경제 학자 계정이 명시되었습니다. "스파이와 전복 사이의 경계가 모호합니다."
한 관찰자는 2015 년 OPM (인사 관리 책임자) 해킹 이후 미국이 "사이버 공간에서 허용되는 것"에 대해 덜 관용이 증가했다고보고 있습니다.이 해킹은 OPM 네트워크를 위반하고 공무원과 관련된 22.1 만 명의 기록을 노출 시켰습니다. 신원 조회와 친구, 가족을 거쳤습니다. 중국 정부를 대신하여 일하는 국가 후원 해커가 책임이 있다고 믿었습니다.
취리히에있는 보안 연구 센터의 Max Smeets는 "이러한 대규모 스파이 활동은 이제"허용 할 수없는 것으로 간주되는 작전 목록의 맨 위에있을 것 "이라고 말했습니다.
더 위험한 것으로 보이는 "온 프레미스"소프트웨어
SolarWinds Orion 제품은 "온 프레미스"로 설치됩니다. 즉, 소프트웨어를 사용하여 조직 내 컴퓨터에 설치 및 실행됩니다. 이러한 제품은 IT 리더가 신중하게 고려해야하는 보안 위험을 수반합니다. 평가,에서 최근 계정을 제안했습니다. eWeek.
SolarWinds 공격자들은 침입을 위해 손상된 소프트웨어 패치를 사용한 것으로 보인다고 IT 시스템의 문제를 감지하고 분석하는 AI 소프트웨어를 제공하는 BigPanda의 보안 및 IT 책임자 인 William White가 제안했습니다. “온 프레미스 소프트웨어를 사용하면 소프트웨어를 실행하기 위해 높은 권한이나 높은 권한을 부여해야하는 경우가 많기 때문에 위험이 발생합니다.”라고 그는 말했습니다.
SolarWinds 공격은 분명히 소프트웨어 패치를 통해 실행 되었기 때문에 "아이 론적으로 가장 많이 노출 된 SolarWinds 고객은 실제로 Orion 패치 설치에 부지런한 고객이었습니다"라고 White는 말했습니다.
