Samenvatting
De Solarwindshack is waarschijnlijk de grootste hack uit de geschiedenis. Van de 300.000 Solarwindsklanten zijn er ongeveer 18.000 slachtoffers. Solarwinds heeft meerdere softwarepakketten waarvan vermoedelijk niet alles geïnfecteerd is.
Klik hier voor een overzicht van de getroffen producten.
De klanten, getroffen door deze hack, zijn voornamelijk Fortune 500 en overheidsbedrijven. Onder de technologiebedrijven zijn naast FireEye onder andere Microsoft, Intel, Nvidia en Cisco ook slachtoffer. Dat zijn soft- en hardware providers waar de meeste mensen gebruik van maken. Of de malwaregroepering daar gevoelige informatie heeft kunnen bemachtigen, is nog niet bekend, indien dat het geval is zou dat in de toekomst kunnen leiden tot verdere veiligheidsproblemen.
Niet het aantal maar wel het type slachtoffers, de werkwijze en impact maken dit de grootste hack uit de geschiedenis.
Technische details
De hack gebeurde door softwarecomponenten van Solarwinds’ software te infecteren. Er zijn twee vormen waaronder een besmette gesigneerde DLL (software bibliotheek) en een ander niet-gesigneerde DLL. Doordat de gesigneerde DLL meer expertise demonstreert, veronderstelt men dat er twee groeperingen zijn met elk een aparte aanval. Deze DLL’s kregen de codenamen SUNBURST en SUPERNOVA. Bij beide gebeurde de verspreiding via updates voor bepaalde Solarwindsproducten.
SUNBURST
De hack slaagde erin een gecertificeerde DLL (software bibliotheek), gebruikt door verscheidene van hun producten, te wijzigen en te misbruiken als trojan. Doordat het over een DLL van een vertrouwd bedrijf ging met een geldig certificaat, kon men geruime tijd onopgemerkt opereren. Doordat de certificaten van Solarwinds niet meer te vertrouwen waren, heeft Solarwinds een update van al hun producten uitgebracht en ook van de certificaten om de potentiële impact te neutraliseren. Het is dus aangeraden deze updates zo snel mogelijk door te voeren.
Nu is het aan de getroffen bedrijven, na het bijwerken van de Solarwindssoftware, anomalieën binnen hun infrastructuur op te sporen en elimineren.
Na installatie van de kwaadaardige update wacht de software 12 dagen voor activatie. Na de slaapperiode zoekt de SUNBURST-malware naar processen, services en drivers. Indien bepaalde processen, services of drivers op het systeem aanwezig zijn, blijft SUNBURST non-actief om detectie te vermijden. Eenmaal voorbij de 12 dagen en de controles, activeert de backdoor, welke eerst contact maakt met een C2 (Command & Control) server, waar deze instructies ophaalt en daarna uitvoert. Deze instructies bestaan eruit credentials te verzamelen om zich zo verder doorheen het netwerk te begeven en andere apparaten aan te vallen.
Microsoft en GoDaddy werkten samen om een killswitch te voorzien door de SUNBURST C2 servers over te nemen en zo de communicatie met de aanvallers stop te zetten. De malware blijft wel actief op het systeem.
SUPERNOVA
De andere DLL is een webshell waarnaar .NET code kan worden gestuurd waarna deze gecompileerd en uitgevoerd wordt. Deze code opereert volledig in memory en is daardoor ook moeilijk detecteerbaar. Deze webshell kan alleen maar functioneren op een systeem met een publiek IP-adres of indien er een ander besmet systeem is in het lokale netwerk.
Tijdslijn
- Volgens Solarwinds vond er een “sterk gesofisticeerde software-aanval plaats tussen maart en juni 2020”.
- Doch had een security researcher, Vinoth Kumar, hen in november 2019 al gewaarschuwd dat credentials voor hun (FTP) update servers publiek online stonden op Github. Dat had daarbovenop een zwak wachtwoord, namelijk “solarwinds123” wat een kwaadwillige aanvaller ook wel toevallig zou kunnen raden. Of deze hack hierdoor plaatsvond, is niet duidelijk. De hack kwam uiteindelijk aan het licht toen een klant van Solarwinds, namelijk FireEye, merkte dat er ingebroken was in hun netwerk en er een 300 tal softwaretools gestolen waren.
- Op 13 december maakte FireEye bekend dat dit het resultaat was van gecompromitteerde Orionsoftware van Solarwinds. Toevallig kwamen op 7 december kwetsbaarheden in VMWare Access en VMWare Identity manager aan het licht welke toegang gaven tot beschermde data en gefedereerde authenticatie. Het is bevestigd dat bedrijven beide softwarepakketten gebruikten maar of via de Solarwindshack ook misbruik gemaakt werd van de VMWare kwetsbaarheid, is nog onduidelijk. Na de bekendmaking zakten de Solarwindsbeurscijfers met 21 %, opmerkelijk is dat twee dagen voor deze bekendmaking bepaalde aandeelhouders hun aandelen verkochten.
Objectief
De analyse van CISA (Cybersecurity and Infrastructure Security Agency) suggereert dat de boeven achter de Solarwindshack gefocust waren op het nabootsen of imiteren van vertrouwde personeelsleden en hierbij ook slimme manieren bedachten om meerstapsverificatie te omzeilen. De opzet hiervan is zich lateraal te bewegen, het bekomen van zich persistent te nestelen binnen en het exfiltreren van data uit deze netwerken.
Laatste status
Het onderzoek is nog steeds in ontwikkeling. Er komt nog iedere dag nieuwe informatie naar boven. Dat wordt op de voet opgevolgd. Dus hou deze blog zeker in de gaten omtrent updates.
Wat doet Pentatec in deze context
- De zaken worden opgevolgd
- Alle nodige aanbevelingen vanuit de ICT-leverancier Solarwinds worden opgevolgd en uitgevoerd.
De update van Solarwinds is uitgevoerd om 100 % zeker te zijn. Ook al is deze software tot nu toe niet geïmpacteerd.
Advies
Verhoogde waakzaamheid is zeker aanbevolen. Hou rekening met onderstaande adviezen:
- Monitor anomalieën en verdachte activiteiten op het netwerk.
- Zorg dat netwerktrafiek gecontroleerd is doorheen een firewall.
- Breng bevoegden op de hoogte en zorg voor user awareness.
- Monitor en bescherm account privileges.
- Bescherm uw accounts met 2FA/MFA.
- Besteed aandacht aan kwetsbaarheden gevonden in uw scans en SIEM.
- Houd uw incident response plan toegankelijk met het team hun contactgegevens.
Wordt vervolgd…