IT-palveluntarjoaja SolarWinds hakkeroitiin – mitä organisaatiosi tulisi ajatella siitä?

Suurvallat kilpailevat uudella taistelukentällä – ohjelmistojen ja kaupallisten yritysten hallinnoiman infrastruktuurin alueella. Hyvin resursoiduksi tiedetty valtiollinen hyökkääjä takaportitti IT-infrastruktuurin keskitettyyn valvontaan ja hallintaan käytetyn SolarWinds Orion hallintatyökalun, ja sai sen myötä pääsyn organisaatioiden arkaluontoisimpiin salaisuuksiin. Tapauksesta opitaan koko ajan uutta tietoa, mutta jo nyt on päivänselvää, että hyökkäyksellä on maailmanlaajuisia seurauksia, ja vaikutuspiirissä olevien organisaatioiden on toimittava välittömästi.

Huom. Tilanne kehittyy jatkuvasti, ja siksi joitakin tämän tekstin tietoja voidaan päivittää vastaamaan uutta tietoa ja ymmärrystä uhkatoimijan kampanjasta.

Ohjelmistojen toimitusketjun avulla hyökättiin useisiin merkittäviin organisaatioihin

Julkisesti tiedetään jo runsaasti kiinnostavia yksityiskohtia erittäin kyvykkäästä hyökkääjästä, jota tällä hetkellä seurataan nimellä “UNC2452”. Hyökkääjä valikoi laajalti käytettyjä verkonhallintaohjelmistoja ja hankki niiden avulla pääsyn korkean profiilin organisaatioiden järjestelmien ytimeen. Kyseinen ohjelmisto on suuryrityksissä laajalti käytetty SolarWinds Orion, jonka yhteen ohjelmistokomponenttiin hyökkääjä lisäsi haitallisen takaoven, joka tunnetaan nimellä “SUNBURST”. Takaoven avulla hyökkääjä sai pääsyn toimimaan järjestelmässä.

SolarWindsin markkinavalvojalle toimittama raportti osoittaa yrityksen uskovan, että haitallinen koodi lisättiin vasta ohjelmistoyhtiön käännösympäristössä, eikä sitä löytynyt lähdekoodista. Päivitys näytti aidolta — se jaettiin osana virallista päivitystä ja oli allekirjoitettu SolarWindsin ohjelmistojen allekirjoitusvarmenteella.

Tämän hetken tietojen mukaan haitallisen komponentin sisältävien päivitysten jakelu SolarWindsin asiakkaille alkoi maaliskuussa 2020 ja jatkui kesäkuuhun asti. Tapauksen selvittelyyn syvällisesti osallistuneen Microsoftin analyysi osoittaa, että joissakin vanhoissa päivityksissä on ei-haitallisia poikkeavuuksia, jotka voivat olla todisteita siitä, että hyökkääjällä on ollut pääsy käännösympäristöön jopa lokakuusta 2019 lähtien.

Haitallisen päivityksen saaneisiin organisaatioihin ei välttämättä ole kohdistunut aktiivista hyökkäystä

Pörssivalvoja SEC:lle toimittamassaan raportissa SolarWinds ilmoittaa, että jopa yli 17 000 organisaatiota on saattanut saada päivityksen, joka sisältää haitallisen komponentin. Aktiivisesti hyväksikäytettyjen uhrien määrä jäänee todennäköisesti pienemmäksi. Ohjelmistojen toimitusketjun ylävirtaan päässeellä hyökkääjällä ei ollut mahdollisuutta kohdistaa haitallista päivitystä, vaan se jaeltiin kaikille SolarWindsin asiakkaille. Kaikesta päätellen hyökkääjää kiinnosti ainoastaan murto-osa takaportin asentaneista organisaatioista. Pelkkä haitallisen päivityksen läsnäolo itsessään ei siis tarkoita sitä, että organisaation toiminta olisi perinpohjaisesti vaarantunut.

Ensimmäisten tietojen pohjalta uhreiksi on joutunut useita Yhdysvaltain hallituksen organisaatioita sekä yhdysvaltalainen kyberturvallisuusyhtiö FireEye. Microsoft on sittemmin todentanut yli 40 uhriorganisaatiota kahdeksassa maassa (USA, Kanada, Meksiko, Israel, Yhdistyneet Arabiemiirikunnat, Belgia, Espanja ja UK).

Ohjelmistotuotteiden toimitusketjua hyväksikäyttäneen hyökkäyksen uhreiksi näyttävät valikoituneen organisaatiot, joilla on valtiollisia toimintoja tai yhteistyötä valtioiden kanssa. Tämäntyyppiset organisaatiot yleensä saavat huomiota valtiollisilta hyökkääjiltä, kuten UNC2452, joilla on käytössään edistyneitä toimintatapoja sekä resursseja. Hyökkääjälle on operaation myötä mahdollistunut pääsy muihinkin houkutteleviin kohteisiin, mutta on oletettavaa, että ne eivät ole olleet suoraan kohteena ainakaan operaation alussa.

Takaovesta suoraan toimintaan

Kun takaovi on asennettu, se voi olla aluksi lepotilassa jopa kaksi viikkoa, kunnes se suorittaa joukon tarkistuksia sen määrittelemiseksi, millaiseen ympäristöön se on päätynyt. Viiveellä ja ympäristön kartoittamisella pyritään välttämään toimintaa suojaustyökalujen läsnä ollessa tai ei-toivotuissa paikoissa. Takaovi pysyy levossa, kunnes olosuhteet muodostuvat otollisiksi. Takaovi pyrkii myös tunnistamaan ja lamauttamaan suojaustyökaluja, kuten virustorjuntaohjelmiston, jotta se pystyisi toimimaan esteettömästi ja välttämään hälytysten laukeamisen.

Jos kaikki tarkistukset menevät läpi, takaovi yrittää ottaa yhteyttä kullekin uhrille räätälöidyn komentopalvelimen kanssa. Komentokanavan avulla hyökkääjä voi käskyttää uhriorganisaation tietoverkkoa etänä.

Raporttien mukaan hyökkääjä siirtyy ”käsiohjaukseen” jahka jalansija verkossa on varmistettu. Tästä eteenpäin hyökkäyksen eteneminen vaihtelee uhrista toiseen. Osana alkuperäistä toimintaa hyökkääjän kerrotaan hyödyntäneen mukautettua muistinvaraista TEARDROP-nimistä haittaohjelmakomponenttia. Tämä ennestään tunnistamaton haittaohjelma asentuu järjestelmän osaksi palveluna ja säilyy aktiivisena uudelleenkäynnistyksen jälkeenkin. TEARDROPia on käytetty Cobalt Strike Beaconin lataamiseen ainakin yhdessä tapauksessa, mutta teknisesti työkalua voi käyttää minkä tahansa haitallisen koodin lataamiseen.

Korotetun käyttövaltuuden hankkiminen ja eteneminen kohteessa syvemmälle

Näiden ensimmäisten vaiheiden jälkeen hyökkääjän kerrotaan hyödyntäneen tunnetumpia tekniikoita, kuten PowerShelliä ja käyttöjärjestelmän vakiotyökaluja korottaakseen oikeustasoaan ja laajentaakseen jalansijaa uhrin verkossa. Hyökkääjän tiedetään käyttäneen obfuskoituja komentoja hälytysten välttämäiseksi ja yrittäneen muutenkin sulautua järjestelmän ja käyttäjien normaalin toiminnan sekaan.

Hyökkääjän kerrotaan onnistuneen murtamaan organisaation federoidut käyttäjäntunnistusmekanismit. Tälle hyökkääjälle tunnusomaista on ollut SAML-allekirjoitusvarmenteiden varastaminen, jolloin hyökkääjä on voinut valita itselleen haluamansa käyttäjäidentiteetin. Yhdysvaltojen kyberturvallisuuskeskus CISAn varoitus AA20-352A5 osoittaa, että SAML-tunnusten väärinkäyttö yhdistää kaikkia raportoituja tietomurtoja, mukaan lukien Solarwindsin tapaus.

Hyökkääjä on kirjautunut käyttöönsä saamiensa identiteettien turvin pilvi- ja verkkopalveluihin, mukaan lukien tallennus- ja sähköpostipalvelut. Microsoft on jakanut hyödyllisen raportin tästä sekä hyökkääjän laajemmasta toiminnasta.

Keskeiset tavoitteet

Hyökkääjän päätavoitteina kerrotaan olleen varmistaa pitkäaikainen pääsy uhriorganisaatioiden verkkoon arkaluontoisten tietojen varastamiseksi. Pitkän aikavälin jatkuvan toiminnan tekniset yksityiskohdat on käsitelty kattavasti Microsoftin blogissa, jossa federoidun kirjautumisen väärinkäytön toteutus on kuvattu vaihe vaiheelta.

Tutkijoiden raporteissa korostuu hyökkääjän kehittynyt suorituskyky ja operaatioturvallisuuden korkea taso. SolarWindsin ohjelmistoja käyttävien organisaatioiden tulisi ryhtyä toimiin uhan tutkimisen, hallinnan ja korjaamisen osalta.

Ymmärrys vasta täsmentyy

Tietoturvaloukkausten tutkiminen jatkuu edelleen. Tuoreena tietona “SUPERNOVA-” ja “COSMICGALE”-nimillä tunnettujen hyökkäystyökalujen käyttö ei liitykään suoraan SolarWindsin murtoon. Sekä Microsoft että FireEye pitävät näitä erillisinä hyökkäyksinä, joissa hyödynnetään haavoittuvuutta CVE-2019-8917. Haitallisen toiminnan havaitseminen on toki edelleen tärkeää, riippumatta siitä kuka hyökkäyksen suorittaa.

Miten organisaatiosi tulisi toimia

Hyökkääjä pyrkii piilottamaan toimintansa ja vaikeuttamaan tunnistusta. Siksi on tärkeää, että organisaatiot, joiden verkkoon takaportin sisältämä ohjelmisto on asennettu, ryhtyvät toimiin uhan tutkimista, eristämistä ja korjaamista varten.

Palvelimet, joille on asennettu haavoittunut ohjelmisto, on eristettävä ja tutkittava. SolarWinds Orion ohjelmiston päivityksen 2020.2.1 HF 2 asentaminen poistaa takaportin. SolarWinds ilmoittaa, että korjaus paitsi poistaa haittakomponentit myös sisältävät tietoturvaparannuksia. Tämän toimen pitäisi vähentää aktiivisen hyväksikäytön riskiä takaoven kautta.

On tehtävä enemmän

Vastaavia hyökkäyksiä nähdään yleensä toteutettavan osana vakoilua. Uhka koskettaa monia organisaatioita ympäri maailmaa. Vastaavanlaisia aggressiivisia hyökkäystapoja verkkoon pääsyn mahdollistamiseksi nähdään jatkossa muillakin huoltovarmuuskriittisillä toimialoilla. Nyt nähty hyökkäys edustaa sotilaallisen voimankäytön hybridikeinovalikoimaa. Tämä on omiaan vaarantamaan yritystoiminnan turvallisuuden ja aiheuttamaan epävakautta kaikkialla. Tapahtunut heikentää luottamusta teknologia- ja kyberturvallisuusalan yrityksiin, ja siten vaarantaa digitaalisen taloutemme perustan.

SolarWindsiin kohdistuneella tietomurrolla voi olla myös positiivinen vaikutus. Kansainvälinen yhteisö on laajasti samaa mieltä siitä, että on tehtävä enemmän ja halukkuus yhteistyöhön on kasvanut yli kansainvälisten rajojen, sekä hallitusten ja yksityisten yritysten välillä.