Khi thăm dò vào Cuộc tấn công chuỗi cung ứng của SolarWinds tiếp tục, bằng chứng pháp y kỹ thuật số mới đã làm sáng tỏ rằng một tác nhân đe dọa riêng biệt có thể đã lạm dụng phần mềm Orion của nhà cung cấp cơ sở hạ tầng CNTT để đánh rơi một cửa hậu liên tục tương tự trên các hệ thống mục tiêu.
“Việc điều tra toàn bộ thỏa hiệp SolarWinds đã dẫn đến việc phát hiện thêm một phần mềm độc hại cũng ảnh hưởng đến sản phẩm SolarWinds Orion nhưng đã được xác định là có khả năng không liên quan đến thỏa hiệp này và được sử dụng bởi một tác nhân đe dọa khác”, nhóm nghiên cứu Microsoft 365 nói vào thứ Sáu trong một bài đăng chi tiết về phần mềm độc hại Sunburst.
Điều làm cho phần mềm độc hại mới được tiết lộ, được gọi là “Siêu tân tinh”, khác biệt là không giống như Sunburst DLL, Siêu tân tinh (“app_web_logoimagehandler.ashx.b6031896.dll”) không được ký bằng chứng chỉ kỹ thuật số SolarWinds hợp pháp, báo hiệu rằng thỏa hiệp có thể không liên quan đến cuộc tấn công chuỗi cung ứng được tiết lộ trước đó.
Trong một viết lên độc lập, các nhà nghiên cứu từ Palo Alto Networks cho biết phần mềm độc hại Supernova được biên dịch và thực thi trong bộ nhớ, cho phép kẻ tấn công vượt qua các hệ thống phát hiện và phản hồi điểm cuối (EDR) và “triển khai các chương trình .NET đầy đủ tính năng – và có lẽ là tinh vi – để do thám, di chuyển bên và các pha tấn công khác. “
Cách hoạt động của Sunburst Backdoor
Phát hiện này còn là một dấu hiệu khác cho thấy ngoài việc là một vật trung gian lây nhiễm sinh lợi cho các tác nhân đe dọa, cuộc tấn công chuỗi cung ứng của SolarWinds – tạo ra một mạng lưới rộng lớn 18.000 công ty và các cơ quan chính phủ – đã được thực hiện với phạm vi rộng hơn nhiều và sự tinh vi phi thường.
Các đối thủ đã sử dụng cái gọi là tấn công chuỗi cung ứng, khai thác các bản cập nhật phần mềm quản lý mạng SolarWinds Orion mà công ty đã phân phối từ tháng 3 đến tháng 6 năm nay để tạo mã độc trong tệp DLL (còn gọi là Sunburst hoặc Solorigate) trên máy chủ của mục tiêu có khả năng lén lút thu thập thông tin quan trọng, chạy các lệnh từ xa và lấy kết quả ra máy chủ do kẻ tấn công kiểm soát.
Phân tích của mô thức Solorigate cũng đã tiết lộ rằng chiến dịch đã chọn chỉ đánh cắp dữ liệu từ một vài trong số hàng nghìn nạn nhân được chọn, chọn leo thang các cuộc tấn công của họ dựa trên thông tin tình báo thu thập được trong quá trình trinh sát ban đầu về môi trường mục tiêu cho các tài khoản và tài sản có giá trị cao .
Sự leo thang liên quan đến máy chủ lệnh và điều khiển (C2) được xác định trước – một miền hiện đã chìm có tên “avsvmcloud[.]com “- phản hồi hệ thống bị nhiễm bằng máy chủ C2 thứ hai cho phép cửa hậu Sunburst chạy các lệnh cụ thể để thăm dò leo thang đặc quyền, đánh cắp thông tin xác thực và di chuyển bên.
Thực tế là tệp DLL bị xâm nhập được ký kỹ thuật số ngụ ý sự xâm nhập của đường ống phân phối hoặc phát triển phần mềm của công ty, với chứng cớ cho thấy rằng những kẻ tấn công đã tiến hành một cuộc chạy khô ráo của chiến dịch sớm nhất là vào tháng 10 năm 2019.
Các tệp tháng 10 không có cửa hậu nhúng trong đó theo cách mà các bản cập nhật phần mềm tiếp theo của SolarWinds Orion mà khách hàng tải xuống vào mùa xuân năm 2020 đã làm – thay vào đó, nó chủ yếu được sử dụng để kiểm tra xem các sửa đổi có xuất hiện trong các bản cập nhật mới phát hành như mong đợi hay không.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), trong một cảnh báo vào tuần trước, cho biết họ đã tìm thấy bằng chứng về các vectơ lây nhiễm ban đầu sử dụng các lỗ hổng khác ngoài phần mềm SolarWinds.
Cisco, VMware và Deloitte Xác nhận Cài đặt Orion Độc hại
Các công ty an ninh mạng Kaspersky và Symantec đã cho biết họ từng xác định được 100 khách hàng đã tải xuống gói trojanized có chứa cửa hậu Sunburst, sau đó họ tìm thấy dấu vết của tải trọng giai đoạn hai được gọi là Teardrop trong một số ít tổ chức.
Số nạn nhân bị nhiễm cụ thể vẫn chưa được biết vào thời điểm này, nhưng nó đã tăng đều đặn kể từ khi công ty an ninh mạng FireEye tiết lộ rằng nó đã bị xâm phạm thông qua phần mềm của SolarWinds vào đầu tháng này. Cho đến nay, một số cơ quan chính phủ Hoa Kỳ và công ty tư nhân, bao gồm Microsoft, Cisco, Equifax, General Electric, Intel, NVIDIA, Deloitte và VMware đã báo cáo việc tìm thấy phần mềm độc hại trên máy chủ của nó.
“Sau thông báo về cuộc tấn công SolarWinds, Cisco Security ngay lập tức bắt đầu các quy trình ứng phó sự cố đã thiết lập của chúng tôi”, Cisco cho biết trong một tuyên bố với The Hacker News qua email.
“Chúng tôi đã cô lập và xóa cài đặt Orion khỏi một số ít môi trường phòng thí nghiệm và điểm cuối của nhân viên. Tại thời điểm này, không có tác động nào được biết đến đối với các sản phẩm, dịch vụ của Cisco hoặc bất kỳ dữ liệu khách hàng nào. Chúng tôi tiếp tục điều tra tất cả các khía cạnh của tình huống đang phát triển này với mức độ ưu tiên cao nhất. “
FireEye là người đầu tiên lộ ra chiến dịch gián điệp trên diện rộng vào ngày 8 tháng 12 sau khám phá rằng kẻ tấn công đã đánh cắp kho công cụ kiểm tra thâm nhập của Đội Đỏ, khiến nó trở thành trường hợp duy nhất cho đến nay những kẻ tấn công tăng cường truy cập. Không có chính phủ nước ngoài nào công bố các thỏa hiệp đối với hệ thống của chính họ.
Mặc dù các báo cáo truyền thông đã trích dẫn rằng đây là công việc của APT29, nhưng Nga đã phủ nhận việc tham gia vào chiến dịch hack. Các công ty an ninh mạng và các nhà nghiên cứu từ FireEye, Microsoft và Volexity đều không quy các cuộc tấn công này là do tác nhân đe dọa.
