Door John P. Desmond, AI Trends Editor
De hackers van SolarWinds leken clouddiensten als hoofddoel te hebben, waardoor ze mogelijk toegang kregen tot veel, zo niet alle, cloudgebaseerde diensten van een organisatie.
Dit is van een account in GeekWire geschreven door Christopher Budd, een ieen afhankelijke beveiligingsadviseur die eerder 10 jaar in het Security Response Center van Microsoft werkte.
"TheAls we de verschillende rapporten decoderen en de punten met elkaar verbinden, kunnen we zien dat de SolarWinds-aanvallers gerichte authenticatiesystemen hebben op de gecompromitteerde netwerken, zodat ze kunnen inloggen op cloudgebaseerde diensten zoals Microsoft Office 365 zonder alarm te slaan, ”schreef Budd. "Erger nog, de manier waarop ze dit uitvoeren, kan mogelijk worden gebruikt om toegang te krijgen tot veel, zo niet alle, cloudgebaseerde services van een organisatie."
De implicatie is dat degenen die de impact van de aanvallen beoordelen, niet alleen naar hun eigen systemen en netwerken moeten kijken, maar ook naar hun cloudgebaseerde services voor bewijs van compromissen. En het betekent dat verdediging tegen aanvallen betekent dat de beveiliging en bewaking van authenticatiesystemen voor cloudservices 'vanaf nu' wordt verhoogd.
Budd noemde deze belangrijke afhaalrestaurants:
- Nadat ze voet aan de grond hebben gekregen in een netwerk, richten de SolarWinds-aanvallers zich op de systemen die een identiteitsbewijs verstrekken dat wordt gebruikt door cloudgebaseerde services; en ze stelen de middelen die worden gebruikt om ID's uit te geven;
- Zodra ze deze mogelijkheid hebben, kunnen ze valse ID's maken waarmee ze zich kunnen voordoen als legitieme gebruikers, of kwaadaardige accounts maken die legitiem lijken, inclusief accounts met beheerderstoegang;
- Omdat de ID's worden gebruikt om toegang te bieden tot gegevens en service door cloudgebaseerde accounts, hebben de aanvallers toegang tot gegevens en e-mail alsof ze legitieme gebruikers zijn.
SAML-verificatiemethode voor getargete cloudservices
Cloudgebaseerde services gebruiken een authenticatiemethode genaamd Security Assertion Markup Language (SAML), die een token afgeeft dat als "bewijs" van de identiteit van een legitieme gebruiker aan de services wordt verstrekt. Budd stelde op basis van een reeks berichten op de Microsoft-blog vast dat de SAML-service het doelwit was. Hoewel dit type aanval voor het eerst werd gezien in 2017, "is dit de eerste grote aanval met dit soort brede zichtbaarheid die gericht is op cloudgebaseerde authenticatiemechanismen", aldus Budd.
In antwoord op een vraag die Budd aan Microsoft stelde, of het bedrijf had vernomen van eventuele kwetsbaarheden die tot deze aanval leidden, kreeg hij het volgende antwoord: “We hebben in deze onderzoeken geen kwetsbaarheden in Microsoft-producten of cloudservices geïdentificeerd. Eenmaal in een netwerk gebruikt de indringer de positie om privileges te verkrijgen en dat privilege om toegang te krijgen. "
Een reactie van de National Security Administration was vergelijkbaar en zei dat de aanvallers, door "misbruik te maken van de federatieve authenticatie", geen misbruik maakten van enige kwetsbaarheid in het Microsoft-authenticatiesysteem, "maar eerder misbruik maakten van het vertrouwen dat was opgebouwd tussen de geïntegreerde componenten."
Ook al kwam de SolarWinds-aanval via een cloudgebaseerde service van Microsoft, het betrof de open standaard SAML die veel wordt gebruikt door leveranciers van cloudgebaseerde services, niet alleen door Microsoft. "Bij de SolarWinds-aanvallen en dit soort SAML-gebaseerde aanvallen op cloudservices in de toekomst kunnen niet-Microsoft SAML-providers en cloudserviceproviders betrokken zijn," verklaarde Budd.
Amerikaanse inlichtingendienst ziet aanval afkomstig van Ruslands Cosy Bear
Amerikaanse inlichtingenfunctionarissen denken dat de aanval afkomstig is uit Rusland. Specifiek, volgens een rapport van The Economistwas de groep aanvallers die bekend staat als Cosy Bear, waarvan wordt gedacht dat ze deel uitmaken van de Russische inlichtingendienst, hiervoor verantwoordelijk. "Het lijkt een van de grootste digitale spionageacties tegen Amerika ooit te zijn", aldus het verslag.
De aanval bleek "Eersteklas operationele handel", aldus FireEye, een cyberveiligheidsbedrijf dat zelf ook slachtoffer was.
Amerika heeft de neiging om cyberaanvallen in het afgelopen decennium te categoriseren en erop te reageren volgens de doelstellingen van de aanvallers. Het heeft betrekking op inbraken bedoeld om geheimen te stelen-ouderwetse spionage-als een eerlijk spel waar de Amerikaanse National Security Agency zich ook mee bezighoudt. Maar aanvallen die bedoeld zijn om schade te berokkenen, zoals de aanval van Noord-Korea op Sony Pictures in 2014, of de diefstal van industriële geheimen door China, worden gezien als een grens overschrijden, suggereerde het account . Zo zijn er sancties opgelegd aan veel Russische, Chinese, Noord-Koreaanse en Iraanse hackers.
De Solar Winds-aanval lijkt een eigen categorie te hebben gecreëerd. "Deze poging om normen op een geheime en chaotische arena van concurrentie te drukken, is niet succesvol geweest", aldus de Econoom account vermeld. "De grens tussen spionage en ondermijning is vervaagd."
Een waarnemer ziet dat Amerika sinds de hack van de Officer of Personnel Management (OPM) in 2015 minder tolerant is geworden ten aanzien van 'wat is toegestaan in cyberspace'. Die hack maakte inbreuk op OPM-netwerken en legde de gegevens bloot van 22.1 miljoen met betrekking tot overheidsmedewerkers, anderen die achtergrondcontroles had ondergaan, en vrienden en familie. Door de staat gesponsorde hackers die namens de Chinese regering werkten, werden verantwoordelijk geacht.
"Zo'n grootschalige spionage" zou nu bovenaan de lijst staan van operaties die zij als onaanvaardbaar zouden beschouwen ", aldus Max Smeets van het Center of Security Studies in Zürich.
"On-Prem" -software wordt gezien als riskanter
Het SolarWinds Orion-product wordt "on-prem" geïnstalleerd, wat betekent dat het wordt geïnstalleerd en gebruikt op computers op het terrein van de organisatie met behulp van de software. Dergelijke producten brengen beveiligingsrisico's met zich mee die IT-leiders zorgvuldig moeten behandelen schatten, stelde een recent account voor in eWeek.
De aanvallers van SolarWinds gebruikten blijkbaar een gecompromitteerde softwarepatch om toegang te krijgen, stelde William White, beveiligings- en IT-directeur van BigPanda, die AI-software aanbiedt om problemen in IT-systemen op te sporen en te analyseren. Met on-prem software moet je vaak verhoogde rechten of zeer bevoorrechte accounts verlenen om de software te laten draaien, wat risico's met zich meebrengt, ”verklaarde hij.
Omdat de SolarWinds-aanval blijkbaar werd uitgevoerd via een softwarepatch, "Ironisch genoeg waren de meest blootgestelde SolarWinds-klanten degenen die echt ijverig waren in het installeren van Orion-patches", aldus White.
Lees de bronartikelen in GeekWire, oppompen van The Economist en in eWeek.
