בשבוע שעבר נודע שתוקף מדיני הכניס דלת אחורית (Backdoor) ,שמכונה "Sunburst" לתוכנות הניהול Solarwinds Orion, שמשמשת עשרות אלפי ארגונים פרטיים וממשלות ברחבי העולם. כ-18 אלף מהם הורידו עדכון התוכנה, שהכילה ספריית DLL חתומה בסרטיפיקט של Solarwinds, שפתחה חיבור לשרת CNC וחשפה את הקורבנות לפרק זמן של שלושה חודשים לפחות.
חוקרים ברחבי העולם התחקו אחרי קריאות ה- ip שביצעו המכונות המודבקות וכך זיהו קבוצה של כמה מאות לקוחות, שלא רק שהתקיימה אצלם Backdoor אלא שגם נעשה בה שימוש מסוים על ידי התוקפים. בין לקוחות אלו מופיעים גם ארגונים וחברות ישראליות.
מדובר באחת ממתקפות הסייבר האגרסיביות והרחבות ביותר שנצפו עד כה בקנה מידה עולמי, כאשר חברת מייקרוסופט, שהודיעה בתחילת השבוע כי נתקפה על ידי אותם האקרים פרסמה כי במהלך החקירה על הרשתות שלה, היא איתרה מערך אחר נוסף שתקף אותם ואינו קשור לראשון.
לקוחות של חברת SentinelOne לא נפגעו מהמתקפה ואף יתרה מכך, התגלה ש"Sunburst" בודקת אילו מוצרי אבטחה מותקנים על גבי המחשב שעליו היא מורצת. במידה והיא מזהה את המוצר של חברת SentinelOne התוכנה לא תמשיך בתהליך התקיפה.
אסף אמיר, ראש מחלקת המחקר של סנטינל וואן: "אין ספק שהסיפור הזה רק בתחילתו ושמדובר במתקפה הגדולה ביותר שהעולם ידע מזה זמן רב. בקבוצת המחקר שלנו ב SentinelOne עוקבים אחר האירוע הזה עוד מראשיתו במטרה להגן על לקוחותינו. ביצענו חקירה של הבקדור שהותקן במוצר Orion. מדובר בבקדור ייחודי שמתקשר לשרת C2 מרכזי (ישנם עוד שרתי משנה). כל בקדור שמותקן מבצע מספר בדיקות התגוננות למשל בדיקה האם מותקנות תוכנות מסוימות על המחשב שמסוגלות לאתר אותו. בנוסף הבקדור חילק את מוצרי האבטחה לשניים: כאלה שהוא משתיק (מכבה) וכאלה שבנוכוחותם הוא לא פועל. מהמחקר עולה שבנוכחות מוצרי אבטחה של חברות מובילות בשוק הבקדור מכבה אותם ואילו בנוכחות מוצר האבטחה של SentinelOne, הבקדור נכבה ולא מתבצעת שום תקיפה אקטיבית.
כמו כן במהלך החקירה ובאמצעות הצלבה על פרסומים נוספים הגענו לרשימה של כ-2000 נתקפים שבהם הבקדור הפעיל כלי תקיפה וביצע פעולות כלשהן ברשת של הקורבן. הדרך לאתר זאת הייתה לחקור את שיטת התקשורת של הבקדור. מבין הנתקפים ישנן רשויות אמריקאיות רבות, חברות טכנולוגיה ובארץ איתרנו חברת אבטחת מידע גדולה ועוד מספר מוסדות אקדמיים".
השתלשלות העניינים - רקע
- ב-07/12 פרסמה רשות הסייבר האמריקאית CISA הודעה כי תוקפים רוסים עושים שימוש בחולשה שאותרה במוצרי חברת VMWare.
- ב-08/12 חברת FireEye הוציאה הודעה לעיתונות ובה טענה כי נפרצה על ידי האקרים שגנבו מהחברה את כלי ה Red Team שהחברה עושה בהם שימוש. החברה גם פרסמה רשימת IOC's של אותם כלים.
- ב-13/02 חברת FireEye פרסמה דוח ובו הטילה פצצה. הנגישות לרשת החברה שלהם הגיעה ממוצר מבוקדר של חברת Solarwinds. חברת FireEye חשפה כי בחברת Solarwinds היה מבצע supply chain attack שפרץ את Orion של solarwinds- מוצר שפרוס אצל עשרות אלפי לקוחות ברחבי העולם.
- מאותו רגע החל מחול שדים שבו פרסמה חברת Solarwinds הודעה שכ 18,000 לקוחות החברה משכו אליהם את המוצר עם הבקדור של התוקפים. בין הלקוחות הללו נמצאות ענקיות טכנולוגיה כמו NVidia , Microsoft , IBM ורשתות ממשל שונות בארה"ב.
- חברת Solarwinds פרסמה שהתקיפה החלה מאותו חולשה ב VMWare שעליה דווח ב-07/12.