Các diễn viên được nhà nước tài trợ bị cáo buộc làm việc cho Nga đã nhắm mục tiêu Bộ Tài chính Hoa Kỳ, Cục Quản lý Thông tin và Viễn thông Quốc gia (NTIA) của Bộ Thương mại và các cơ quan chính phủ khác để giám sát lưu lượng email nội bộ như một phần của chiến dịch gián điệp mạng rộng rãi.
Tờ Washington Post, trích dẫn các nguồn tin giấu tên, cho biết các cuộc tấn công mới nhất là do APT29 hoặc Cozy Bear, cùng một nhóm hack được cho là đã dàn dựng một vụ vi phạm công ty an ninh mạng có trụ sở tại Mỹ. Ánh mắt rực lửa một vài ngày trước dẫn đến việc đánh cắp các công cụ kiểm tra thâm nhập của Red Team.
Động cơ và phạm vi đầy đủ của những gì thông tin tình báo bị xâm phạm vẫn chưa rõ ràng, nhưng các dấu hiệu cho thấy kẻ thù đã can thiệp vào bản cập nhật phần mềm do nhà cung cấp cơ sở hạ tầng CNTT SolarWinds có trụ sở tại Texas phát hành vào đầu năm nay để xâm nhập vào hệ thống của các cơ quan chính phủ cũng như FireEye và gắn kết Tinh vi tấn công chuỗi cung ứng.
Các sản phẩm mạng và bảo mật của SolarWinds được hơn 300.000 khách hàng trên toàn thế giới, bao gồm các công ty, cơ quan chính phủ và tổ chức giáo dục trong danh sách Fortune 500.
Nó cũng phục vụ các công ty viễn thông lớn của Hoa Kỳ, tất cả năm chi nhánh của Quân đội Hoa Kỳ, và các tổ chức chính phủ nổi tiếng khác như Lầu Năm Góc, Bộ Ngoại giao, NASA, Cơ quan An ninh Quốc gia (NSA), Bưu điện, NOAA, Bộ Tư pháp và Văn phòng Tổng thống Hoa Kỳ.
Một chiến dịch tránh né để phân phối cửa hậu SUNBURST
FireEye, đang theo dõi chiến dịch xâm nhập đang diễn ra với biệt danh “UNC2452“” cho biết cuộc tấn công chuỗi cung ứng lợi dụng các bản cập nhật phần mềm kinh doanh SolarWinds Orion bị trojanized để phân phối một cửa hậu có tên SUNBURST.
“Chiến dịch này có thể đã bắt đầu sớm nhất là vào mùa Xuân năm 2020 và hiện đang tiếp tục”, FireEye cho biết trong một phân tích hôm Chủ nhật. “Hoạt động sau thỏa hiệp sau thỏa hiệp chuỗi cung ứng này đã bao gồm chuyển động ngang và đánh cắp dữ liệu. Chiến dịch là công việc của một nhân viên có kỹ năng cao và hoạt động được tiến hành với độ bảo mật hoạt động đáng kể.”
Phiên bản giả mạo này của plug-in SolarWinds Orion, bên cạnh việc giả mạo lưu lượng mạng của nó là Chương trình Cải tiến Orion (OIP) giao thức, được cho là giao tiếp qua HTTP tới các máy chủ từ xa để truy xuất và thực thi các lệnh độc hại (“Công việc”) bao gồm gam phần mềm gián điệp, bao gồm các lệnh để truyền tệp, thực thi tệp, lập hồ sơ và khởi động lại hệ thống đích cũng như vô hiệu hóa hệ thống các dịch vụ.
Chương trình Cải tiến Orion hoặc OIP chủ yếu được sử dụng để thu thập dữ liệu thống kê hiệu suất và sử dụng từ người dùng SolarWinds cho mục đích cải tiến sản phẩm.
Hơn nữa, các địa chỉ IP được sử dụng cho chiến dịch đã bị các máy chủ VPN đặt tại cùng quốc gia với nạn nhân làm xáo trộn để tránh bị phát hiện.
Microsoft cũng chứng thực những phát hiện trong một phân tích riêng, nêu rõ cuộc tấn công (mà nó gọi là “Giải quyết“) đã tận dụng sự tin tưởng được liên kết với phần mềm SolarWinds để chèn mã độc hại như một phần của chiến dịch lớn hơn.
Nhà sản xuất Windows cho biết: “Một lớp phần mềm độc hại đã được đưa vào trong số nhiều lớp hợp pháp khác và sau đó được ký bằng chứng chỉ hợp pháp”. Kết quả nhị phân bao gồm một cửa sau và sau đó được phân phối một cách kín đáo vào các tổ chức được nhắm mục tiêu. “
Tư vấn bảo mật phát hành SolarWinds
Trong một cố vấn an ninh được công bố bởi SolarWinds, công ty cho biết cuộc tấn công nhắm vào các phiên bản 2019.4 đến 2020.2.1 của phần mềm SolarWinds Orion Platform được phát hành từ tháng 3 đến tháng 6 năm 2020, đồng thời khuyến nghị người dùng nâng cấp lên bản phát hành Nền tảng Orion 2020.2.1 HF 1 ngay lập tức.
Công ty hiện đang điều tra vụ tấn công với sự phối hợp của FireEye và Cục Điều tra Liên bang Hoa Kỳ, cũng dự kiến sẽ phát hành một bản sửa lỗi bổ sung, 2020.2.1 HF 2, vào ngày 15 tháng 12, thay thế thành phần bị xâm nhập và cung cấp thêm một số bảo mật. cải tiến.
FireEye tuần trước tiết lộ rằng họ đã trở thành nạn nhân của một cuộc tấn công cực kỳ tinh vi của chính phủ nước ngoài đã xâm phạm các công cụ phần mềm được sử dụng để kiểm tra khả năng phòng thủ của khách hàng.
Tổng cộng bao nhiêu 60 trong số, các công cụ Red Team bị đánh cắp là sự kết hợp của các công cụ có sẵn công khai (43%), các phiên bản sửa đổi của các công cụ có sẵn công khai (17%) và những công cụ được phát triển nội bộ (40%).
Hơn nữa, hành vi trộm cắp này cũng bao gồm các trọng tải khai thác tận dụng các lỗ hổng nghiêm trọng trong Pulse Secure SSL VPN (CVE-2019-11510), Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) và Windows Dịch vụ Máy tính Từ xa (CVE-2019-0708).
Cuối cùng, chiến dịch dường như là một cuộc tấn công chuỗi cung ứng trên quy mô toàn cầu, vì FireEye cho biết họ đã phát hiện hoạt động này trên một số thực thể trên toàn thế giới, bao gồm các công ty chính phủ, tư vấn, công nghệ, viễn thông và khai thác ở Bắc Mỹ, Châu Âu, Châu Á và Trung Đông.
Các chỉ báo về sự thỏa hiệp (IoC) và các chữ ký tấn công có liên quan khác được thiết kế để chống lại SUNBURST có thể được truy cập đây.
