Solarwinds czyli jak shackowano świat

Solarwinds czyli jak shackowano świat

Czy kompromitacja systemów Solarwinds ma wpływ na OT (ICS) Security ?

Pozostajemy dalecy od tego by oceniać Solarwinds od podjętych działań w zakresie bezpieczeństwa. Tym dalej pozostajemy neutralni przed oceną wrogich podmiotów, państw czy konglomeratów, które być może miały wpływa na całość zdarzeń.

securOT z racji na swoją naturę skupi się na kwestii OT, jednak bez pomijania części IT, która ma istotne znaczenie w przypadku tego ataku, a która pozostaje kluczowa w skali światowej. Zacznijmy od początku by pokrótce scharakteryzować SolarWinds oraz czym jest oprogramowanie Orion. 

SolarWinds – Orion – o co kaman

Solarwinds to jeden z najpopularnieszych dostawców oprogramowania do zarządzania sieciami, całą infrastrukturą IT – OT i systemami, oprogramowaniem

Orion jest oprogramowaniem z kategorii NMS (ang.Network Management System) i rozwiązaniem służącym do monitorowania i zarządzania infrastrukturą sieciową. W dużym uproszczeniu funkcjonalność przedstawia diagram poniżej:

Oprogramowanie Orion firmy Solarwinds
Platforma Orion Solarwinds, Źródło: Solarwinds

Jak każde oprogramowanie także i platformę Orion należy utrzymywać, aktualizować, zarówno od strony funkcjonalnej jaki i bezpieczeństwa. W środowisku funkcjonuje reguła “Tuesday Patch”, w ramach której zwolnione przez producenta aktualizacje i łatki są automatycznie dystrybuowane do użytkowników końcowych. Tę zasadę właśnie wykorzystali atakujący oprogramowanie Orion – automatyzację aktualizacji oprogramowania. W ramach jednej z łatek zmodyfikowano kod oprogramowania tak by 

Skutki – Microsoft & FireEye

O skali ataku świadczy liczba użytkowników platformy Orion którzy pobrali zainfekowaną aktualizację – nawet 18 tyś podmiotów (Zdnet). Część z nich jawnie i rzetelnie informuje opinie publiczną o zaistniałym fakcie lub niebezpieczeństwie:

Like other SolarWinds customers, we have been actively looking for indicators of the Solorigate actor and want to share an update from our ongoing internal investigation.

We detected unusual activity with a small number of internal accounts and upon review, we discovered one account had been used to view source code in a number of source code repositories. The account did not have permissions to modify any code or engineering systems and our investigation further confirmed no changes were made. These accounts were investigated and remediated.

Microsoft, Blog

Pierwsza część cytatu jest raczej standardową wypowiedzią, natomiast druga część świadczy o czymś czemu należy poświęcić chwilę uwagi. 

FireEye has uncovered a widespread campaign, that we are tracking as UNC2452. The actors behind this campaign gained access to numerous public and private organizations around the world. They gained access to victims via trojanized updates to SolarWind’s Orion IT monitoring and management software. This campaign may have begun as early as Spring 2020 and is currently ongoing. Post compromise activity following this supply chain compromise has included lateral movement and data theft. The campaign is the work of a highly skilled actor and the operation was conducted with significant operational security.

FireEye, Oświadczenie

Komunikat wystosowany przez Fireeye dostarczył wielu informacji i opisów nt. ataku na oprogramowanie Solarwinds. Fireeye zwyczajowo opisuje incydenty wg. swojej nomenklatury i nazw własnych. W tym przypadku incydent nazwano UNC2452 a złośliwy kod bazujący na tym ataku jako SUNBURST. Microsoft w przejrzysty sposób obrazuje atak na grafice poniżej nadając tym samym nazwę Solorigate. Solarwind również podaje jasne i przejrzyste komunikaty służące wyeliminowaniu obu zagrożeń – Security advisor.

Źródło Microsoft

Skutki ataku – inne organizacje

Z oprogramowania SolarWinds korzysta ponad 300 tyś. firm z sektora prywatnego, instytucji naukowych i agencji rządowych na całym świecie. Dodatkowo 425 organizacji z rankingu Forbes500 korzysta z aplikacji Orion, co podsyca skalę ataku i skutki ewentualnych dalszych działań (KrebsonSecurity).

Na rzeczywiste skutki przeprowadzonego ataku hakerskiego, zapewne przyjdzie jeszcze chwile poczekać. Na dzień dzisiejszy czołowe organizacje oraz urzędy Stanów Zjednoczonych mogą czuć się narażone. Nie wiadomo bowiem ile danych zostało skradzionych i/lub skopiowanych z niektórych tylko urzędów i administracji (ITbiznes, Bloomberg, siliconAngle, Forbes):

  • Departament Skarbu USA
  • Amerykańska Narodowa Administracja Telekomunikacji i Informacji (NTIA)
  • Departament Stanu USA
  • Departament Zdrowia Stanów Zjednoczonych – National Institutes of Health (NIH)
  • Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA)
  • Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS)
  • Departament Energii Stanów Zjednoczonych (DOE)
  • Amerykańska Narodowa Administracja Bezpieczeństwa Jądrowego (NNSA)
  • NASA, Pentagon
  • setki uczelni i jednostek oświaty

Zapewne wiele innych nie wymienionych powyżej ani w artykułach źródłowych. Poczekajmy.

Skutki – systemy ICS/OT zagrożone ?

Jaki więc wpływ na bezpieczeństwo infrastruktury ICS/OT przemyśle ma powyżej opisany incydent ?

Ponownie, z oceną ataku na oprogramowanie Solarwinds przyjdzie Nam mierzyć się w dłuższej perspektywie. Cały czas bowiem ujawniane są nowe fakty i publikowane doniesienia.

Możemy jednak założyć, że przy takiej skali ataku, podmioty świadczące usługi kluczowe są lub były narażone na dalszą exploitację i kompromitację systemów produkcyjnych ICS/OT. Platforma Solarwinds daje użytkownikom dostęp i możliwość zarządzaniem stacjami inżynierskimi, serwerami z systemami baz danych czy bezpośrednio urządzeniami aktywnymi typu switche i firewall’s, inne. 

Wszystkie te urządzenia znajdują zastosowanie w środowisku ICS/OT zapewniając komunikację na potrzeby systemów produkcyjnych (komunikacja zachód – wschód) oraz systemów wyższej klasy MES/MoM, integracja z ERP, systemami raportowania i IIoT (komunikacja północ – południe). Wiele urządzeń stanowiskowych z panelami HMI (które wbudowane mają system operacyjny), stacji systemów i serwerów SCADA, DCS oparta jest na systemach skomputeryzowanych podlegających nadzorowi służb IT, Security, SOC. W wielu przypadkach systemy te podlegają analizie i ocenie poprzez oprogramowanie NMS – w tym Solarwinds. Zagłębiając się w możliwości Orion’na: 

Plarforma funkcjonalność Źródło Solarwids

widzimy, iż nieuprawniony dostęp do systemów kluczowych i krytycznych instalacji może mieć znaczące skutki.

Nieautoryzowany dostęp do NMS to olbrzymie możliwości, zarówno od strony nasłuchu infrastruktury ICS/OT (Man-In-The Middle), przechwycenia danych sesji logowania (login/hasło), rekonesansu sieci. Nie można wykluczyć zmiany konfiguracji urządzeń końcowych i/lub pośrednich jak również modyfikacji oprogramowania, zmiany parametrów pracy maszyn i systemów (np. zmiana prędkości obrotowych, progów alarmowych).

Skutki – ICS/OT – Producent – konsument

Dodatkowym utrudnieniem jest fakt, iż stosunkowo mało organizacji prowadzi analizy i monitoruje ruch w sieciach przemysłowych. Bez prowadzenia analizy, raportów, logów urządzeń i zapisów z aktywności sieci, niezmiernie trudno jest stwierdzić o niepożądanym działaniu. Atakujący mogą niepostrzeżenie zainstalować złośliwe oprogramowanie, utworzyć połączenia wsteczne. Atakujący mieli na tę czynność wystarczająco dużo czasu.

Powstaje pytanie, z jakimi trudnościami (atakami) mierzyć się będą organizacje skompromitowane przez aktualizację oprogramowania Solarwinds. Musimy uwzględnić zarówno firmy produkcyjne, jak i również firmy wspierające – 3rd party, które świadczą zdalne usługi (firmy z łańcucha dostaw).

Zawsze jednak atak ma bezpośrednie przełożenie na dany podmiot – firmę produkcyjną, reputacje danej firmy oraz zaufanie do danego podmiotu. Od strony użytkownika polegającego na dostarczanej usłudze kluczowej typu dystrybucja prądu, gazu, uzdatnianie wody pitnej i/lub oczyszczanie ścieków, 

Czy możemy wykluczyć ten scenariusz ? Nie sądzę …

Ten post ma jeden komentarz

Dodaj komentarz