Maailman suurin tietomurto?

Aikaisemmin mainittu FireEyehin kohdistunut murto on osoittautunut vain pieneksi osaksi globaalia kampanjaa

Tietoturvayhtiö FireEyehin kohdistuneet tietomurron yksityiskohdat ovat tarkentuneet. Yhtiöön murtauduttiin SolarWinds yhtiön Orion ohjelmiston kautta. Murtautujat olivat lisänneet Orioniin takaoven, jota FireEye kutsuu nimellä SUNBURST ja muutettu ohjelmisto jaeltiin asiakkaille normaalin päivityskanavan kautta.

SolarWinds yhtiön Orion on isoissa organisaatioissa käytetty verkonhallintaohjelmisto. Yhdysvaltojen valtiollisista laitoksista sitä käyttävät muun muassa:

• Interior Department, including Bureau of Land Management, Bureau of Ocean Energy Management, National Parks Service, Bureau of Safety and Environmental Enforcement and the Interior Business Center, which provides managed human resources, accounting and IT services to other federal agencies
• Defense Logistics Agency
• Defense Threat Reduction Agency
• Air Force
• Army
• Navy
• Energy Department
• Agriculture Department, including the Farm Service Agency
• General Services Administration, including the Federal Acquisition Service
• Justice Department, including the FBI
• Transportation Department, including the Federal Highway Administration
• Health and Human Services Department, including the Food and Drug Administration and National Institutes of Health
• Treasury Department, including the IRS and Office of the Comptroller of the Currency
• Commerce Department, including the National Oceanic and Atmospheric Administration and Census Bureau
• National Science Foundation
• State Department
• Homeland Security Department, including the Transportation Security Agency and Immigration and Customs Enforcement
• Veterans Affairs Department

​Solarwindsin yritys- / yhteisöasiakkaita ovat mm:

Edellä mainittujen lisäksi Orionia käyttää esimerkiksi Dominion software, jonka äänestysjärjestelmät olivat laajasti käytössä USA:n presidentinvaaleissa.

FireEyen mukaan heidän toistaiseksi nimellä UNC2452 kutsumansa ryhmä on hyökännyt globaalisti valtiollisiin ja yksityisiin organisaatioihin. Lähdelistasta löytyvä linkki kuvaa SUNBURSTin toimintaa ja sisältää ohjeita sen havaitsemiseksi sekä torjumiseksi.

Hyökkääjillä oli siis avoimet ovet satoihin organisaatioihin ja puoli vuotta aikaa toimia murretuissa järjestelmissä ennen kuin hyökkäys huomattiin. Heillä oli siis hyvin aikaa hakea haluamansa ja mahdollisuus esimerkiksi vaikuttaa USA:n presidentin vaalin tuloksiin näin halutessaan. On kuitenkin muistettava, että vaikka takaoven asentaminen saatiin automatisoitua, niin varsinainen kohdejärjestelmissä liikkuminen, tarvittavien käyttöoikeuksien hankkiminen ja tiedon etsintä on käytännössä käsityötä. Tämä rajoittaa rinnakkaista toimintaa, joten toistaiseksi voimme vain arvailla kuinka suuri on oikeasti varastetun tiedon määrä.

Tämä saattaa hyvinkin olla maailman suurin tietomurto. 

Lähteet:

• https://thehackernews.com/2020/12/us-agencies-and-fireeye-were-hacked.html
• https://www.nextgov.com/cybersecurity/2020/12/cisa-orders-federal-agencies-turn-solarwinds-products/170737/
• https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

Mitä hyökkäyksen torjumiseksi olisi voitu tehdä?

Orion ohjelmiston käyttäjät luottivat SolarWindsin turvajärjestelyihin ja siihen että heidän käyttämänsä ohjelma on turvallinen. Heidän näkökulmastaan Orionin takaovellisen version asentuminen oli järjestelmäpäivitys siinä missä muutkin, tätä siis ei ollut mahdollista torjua edes teoriassa.
​
Järjestelmään pääsyn jälkeen murtautujat toimivat erittäin varovasti ja poistivat tekemänsä järjestelmämuutokset sekä työkalut käytön jälkeen. Heidän menetelmänsä kuitenkin jättivät jonkin verran jälkiä, jotka olisivat olleet havaittavissa, jos etukäteen olisi tiedetty mitä etsiä.
Kampanja oli poikkeuksellinen, koska luotetun ohjelmistotoimittajan jakelutien hyödyntäminen antoi hyökkääjälle pääsyn satoihin kohteisiin kerralla. Tavallinen kohde kerrallaan etenevä tietomurtaja jää kiinni ennemmin tai myöhemmin ja hänen käyttämänsä menetelmien jäljet saadaan osaksi havainnointijärjestelmää, joten kampanjan jatkaminen samoilla menetelmillä vaikeutuu merkittävästi.

FireEye listaa blogipäivityksessään murron aikana käytettyjä tekniikoita MITRE ATT&CK viitekehyksessä. Tarkkailemalla näitä tapahtumia tietojärjestelmässä olisi käynnissä oleva tietomurto saatettu havaita aikaisemmin:

https://attack.mitre.org/