Нерассказанная история о самом смелом взломе цепочки поставок
Продолжение...
Охота
НАЗАД В МАНДИАНТЕ,рабочие отчаянно пытались решить, что делать с украденными хакерами инструментами, предназначенными для выявления слабых мест в защите клиентов. Обеспокоенный тем, что злоумышленники будут использовать эти продукты против клиентов Mandiant или распространять их в даркнете, Mandiant поручил одной команде разработать способ обнаружения того, когда они используются в дикой природе. Тем временем команда Раннелса бросилась выяснять, как хакеры проникли незамеченными.
Из-за пандемии команда работала из дома, поэтому они проводили по 18 часов в день, подключаясь через конференц-связь, просматривая журналы и системы, чтобы отобразить каждый шаг, который предприняли хакеры. По мере того, как дни превращались в недели, они узнавали ритм жизни друг друга — голоса детей и партнеров на заднем плане, убаюкивающий звук храпа питбуля, лежащего у ног Раннелса. Работа была настолько поглощающей, что в какой-то момент Раннелсу позвонил руководитель Mandiant, находясь в душе.
Раннелс и Скейлс ежедневно информировали Мэндию. Каждый раз генеральный директор задавал один и тот же вопрос: как хакеры проникли внутрь? У следователей не было ответа.
8 декабря, когда инструменты обнаружения были готовы и компания почувствовала, что у нее достаточно информации о взломе, чтобы обнародовать ее, Mandiant нарушила молчание и опубликовала громкое заявление о том, что ее взломали . В нем было мало подробностей: опытные хакеры украли некоторые из его инструментов безопасности, но многие из них уже были общедоступны, и не было никаких доказательств того, что злоумышленники их использовали. Кармакал, технический директор, опасался, что клиенты потеряют доверие к компании. Он также беспокоился о том, как его коллеги отреагируют на новость. «Сотрудникам будет стыдно?» — спросил он. «Неужели люди больше не захотят быть частью этой команды?»
Чего Mandiant не раскрыла, так это того, как злоумышленники проникли внутрь и как долго они находились в сети компании. Фирма говорит, что до сих пор не знала. Эти упущения создали впечатление, что взлом был изолированным событием без других жертв, и люди задавались вопросом, допустила ли компания основные ошибки безопасности, которые привели к ее взлому. «Мы пошли туда и сказали, что нас скомпрометировал высокопоставленный противник», — говорит Кармакал — то, что утверждает каждая жертва. «Мы пока не можем предъявить доказательство».
В Mandiant не уточняют, когда именно компания сделала первое открытие, которое привело ее к источнику взлома. Команда Раннелса выдвинула шквал гипотез и потратила недели на проверку каждой из них только для того, чтобы обнаружить промахи. Они почти потеряли надежду, когда нашли важную подсказку, спрятанную в журналах трафика: несколько месяцев назад сервер Mandiant на короткое время связался с таинственной системой в Интернете. И на этом сервере работало программное обеспечение от SolarWinds.
SolarWinds производит десятки программ для ИТ-администраторов для мониторинга и управления своими сетями, помогая им одновременно настраивать и исправлять множество систем, отслеживать производительность серверов и приложений и анализировать трафик. Mandiant использовала один из самых популярных продуктов техасской компании — программный пакет Orion. Программное обеспечение должно было связываться с сетью SolarWinds только для получения периодических обновлений. Вместо этого он связывался с неизвестной системой — вероятно, с командным сервером хакеров.
Еще в июне Mandiant была вызвана, чтобы помочь Министерству юстиции расследовать вторжение на сервер, на котором запущено программное обеспечение SolarWinds. Почему специалисты по сопоставлению образцов в одной из ведущих мировых охранных фирм, по-видимому, не распознали сходство между двумя случаями, является одной из затянувшихся загадок фиаско SolarWinds. Вполне вероятно, что избранные Раннелса не работали над делом Правосудия, и внутренняя секретность не позволила им обнаружить связь. (Мандиант отказался от комментариев.)
Команда Раннелса заподозрила, что злоумышленники установили бэкдор на сервере Mandiant, и поручили Вилли Баллентину, техническому директору команды, и двум другим найти его. Перед ним стояла непростая задача. Программный пакет Orion состоял из более чем 18 000 файлов и 14 гигабайт кода и данных. Баллентин подумал, что найти мошеннический компонент, ответственный за подозрительный трафик, все равно, что перелистывать « Моби Дик» в поисках конкретного предложения, когда вы никогда не читали книгу.
Но они были в этом только 24 часа, когда они нашли проход, который они искали: единственный файл, который, казалось, был ответственен за мошеннический трафик. Кармакал считает, что они нашли его 11 декабря.
Файл представлял собой .dll или библиотеку с динамической компоновкой — компоненты кода, используемые другими программами. Эта .dll была большой, содержала около 46 000 строк кода, которые выполняли более 4 000 законных действий и, как они обнаружили после часового анализа, одно нелегитимное.
Основная задача .dll заключалась в том, чтобы сообщать SolarWinds об использовании клиентом Orion. Но хакеры внедрили вредоносный код, который заставлял его вместо этого передавать информацию о сети жертвы на их командный сервер. Баллентин назвал мошеннический код «Солнечные лучи» — игра на SolarWinds. Они были в восторге от открытия. Но теперь им нужно было выяснить, как злоумышленники пробрали его в .dll Orion.
Это было далеко не тривиально. Файл Orion .dll был подписан цифровым сертификатом SolarWinds, который должен был подтвердить, что файл является законным кодом компании. Одна из возможностей заключалась в том, что злоумышленники украли цифровой сертификат, создали поврежденную версию файла Orion, подписали файл, чтобы он выглядел подлинным, а затем установили поврежденную .dll на сервер Mandiant. Или, что еще более тревожно, они могли взломать сеть SolarWinds и изменить законный исходный код Orion .dll до того, как SolarWinds скомпилировала его — преобразовав код в программное обеспечение — и подписала его. Второй сценарий казался настолько неправдоподобным, что команда Mandiant даже не рассматривала его, пока исследователь не загрузил обновление программного обеспечения Orion с веб-сайта SolarWinds. В нем была задняя дверь.
Смысл был ошеломляющим. У программного пакета Orion было около 33 000 клиентов, некоторые из которых начали получать взломанное обновление программного обеспечения в марте. Это означало, что некоторые клиенты могли быть скомпрометированы уже восемь месяцев. Команда Mandiant столкнулась с хрестоматийным примером атаки на цепочку поставок программного обеспечения — гнусным изменением доверенного программного обеспечения в его источнике. Одним махом злоумышленники могут заразить тысячи, а возможно, и миллионы машин.
В 2017 году хакеры саботировали цепочку поставок программного обеспечения и доставили вредоносное ПО более чем 2 миллионам пользователей, скомпрометировав инструмент очистки компьютерной безопасности CCleaner . В том же году *****ия распространила вредоносного червя NotPetya в обновлении программного обеспечения ******ского аналога TurboTax, который затем распространился по всему миру. Вскоре после этого китайские хакеры также использовали обновление программного обеспечения, чтобы подсунуть бэкдор тысячам клиентов Asus . Даже на этом раннем этапе расследования команда Mandiant могла сказать, что ни одна из этих других атак не сможет соперничать с кампанией SolarWinds.
SolarWinds присоединяется к погоне
ЭТО БЫЛСубботнее утро, 12 декабря, когда Мэндиа позвонил президенту и генеральному директору SolarWinds по мобильному телефону. Кевин Томпсон, ветеран техасской компании с 14-летним стажем, в конце месяца покидал пост генерального директора. То, что он собирался услышать от Мандии — о том, что Орион заражен, — было адским способом подвести итоги его пребывания в должности. «Мы опубликуем это через 24 часа», — сказал Мандиа. Он пообещал сначала дать SolarWinds возможность опубликовать объявление, но сроки не обсуждались. Чего Мандиа не упомянул, так это того, что он сам находился под внешним давлением: журналисту сообщили о бэкдоре, и он связался с его компанией, чтобы подтвердить это. Мандиа ожидал, что история выйдет в воскресенье вечером, и хотел опередить ее.
Томпсон начал звонить, одним из первых, Тиму Брауну, главе отдела архитектуры безопасности SolarWinds. Браун и его сотрудники быстро подтвердили наличие бэкдора Sunburst в обновлениях программного обеспечения Orion и с тревогой выяснили, что с весны 2020 года он был доставлен 18 000 клиентам (не каждый пользователь Orion загрузил его). Томпсон и другие провели большую часть субботы, лихорадочно собирая команды, чтобы контролировать технические, юридические и рекламные проблемы, с которыми они столкнулись. Они также вызвали внешнего юрисконсульта компании, DLA Piper, для наблюдения за расследованием нарушения. Рон Плеско, адвокат Piper и бывший прокурор с судебно-медицинской экспертизой, был на заднем дворе своего дома с друзьями, когда ему позвонили около 10 часов вечера.
Плеско направился в свой домашний офис, увешанный досками, и начал набрасывать план. Он установил таймер на 20 часов, раздраженный тем, что, по его мнению, был произвольным крайним сроком Мандии. Дня было недостаточно, чтобы подготовить пострадавших клиентов. Он опасался, что как только SolarWinds станет общедоступной, злоумышленники могут сделать что-то разрушительное в сетях клиентов, прежде чем кто-либо сможет их выгнать.
Злоумышленники заразили тысячи сетей, но проникли лишь в крошечную их часть — около 100. Главной целью, похоже, был шпионаж.
Практика назначения юридических групп ответственными за расследование нарушений является спорной. Он помещает дела в режим конфиденциальности адвоката и клиента таким образом, что это может помочь компаниям отбиваться от нормативных расследований и бороться с запросами на раскрытие информации в судебных процессах. Плеско говорит, что SolarWinds с самого начала стремилась к прозрачности и публиковала все, что могла, об инциденте. (В интервью компания в основном была откровенна, но и она, и Mandiant отказались от некоторых ответов по совету юриста или по запросу правительства — Mandiant в большей степени, чем SolarWinds. Кроме того, SolarWinds недавно урегулировала коллективный иск с акционерами по поводу нарушения, но все же сталкивается с возможными принудительными мерамиот Комиссии по ценным бумагам и биржам, что делает его менее открытым, чем это могло бы быть в противном случае о событиях.)
Помимо DLA Piper, SolarWinds привлекла охранную фирму CrowdStrike, и как только Плеско узнал об этом, он понял, что хочет привлечь к делу своего старого друга Адама Мейерса. Эти двое знали друг друга десятилетиями, с тех пор, как они работали над реагированием на инциденты для оборонного подрядчика. Мейерс теперь возглавлял группу разведки угроз CrowdStrike и редко занимался расследованиями. Но когда Плеско написал ему в час ночи, чтобы сказать: «Мне нужна твоя помощь», он был полностью готов.
Позднее тем же воскресным утром Мейерс провел брифинг с Mandiant. В разговоре участвовал сотрудник Microsoft, который сообщил группе, что в некоторых случаях хакеры систематически взламывали учетные записи электронной почты Microsoft Office 365 и облачные учетные записи Azure. Хакеры также смогли обойти протоколы многофакторной аутентификации. С каждой подробностью, которую Мейерс услышал, масштаб и сложность взлома росли. Как и другие, он тоже подозревал ******.
После звонка Мейерс сел в своей гостиной. Mandiant прислал ему код Sunburst — фрагмент файла .dll, содержащий бэкдор, — так что теперь он склонился над своим ноутбуком и начал разбирать его. Он оставался в этом скрюченном положении большую часть следующих шести недель.