Khi các nhà nghiên cứu an ninh mạng tiếp tục kết hợp các Cuộc tấn công chuỗi cung ứng của SolarWinds, các giám đốc điều hành hàng đầu của công ty dịch vụ phần mềm có trụ sở tại Texas đã đổ lỗi cho một sinh viên thực tập về lỗi mật khẩu nghiêm trọng mà không được chú ý trong vài năm.
Mật khẩu đã nói “Solarwinds123“ban đầu được cho là đã có thể truy cập công khai thông qua kho lưu trữ GitHub kể từ ngày 17 tháng 6 năm 2018, trước khi cấu hình sai được giải quyết vào ngày 22 tháng 11 năm 2019.
Nhưng trong một thính giác trước Ủy ban Giám sát và Cải cách Hạ viện và An ninh Nội địa trên SolarWinds vào thứ Sáu, Giám đốc điều hành Sudhakar Ramakrishna đã làm chứng rằng mật khẩu đã được sử dụng từ đầu năm 2017.
Trong khi một cuộc điều tra sơ bộ về cuộc tấn công cho thấy rằng các nhà điều hành đằng sau chiến dịch gián điệp đã cố gắng xâm phạm cơ sở hạ tầng xây dựng phần mềm và ký mã của nền tảng SolarWinds Orion vào đầu tháng 10 năm 2019 để cung cấp cửa hậu Sunburst, các nỗ lực ứng phó sự cố của Crowdstrike đã chỉ ra một dòng thời gian sửa đổi đã gây ra sự vi phạm đầu tiên của mạng SolarWinds vào ngày 4 tháng 9 năm 2019.
Cho đến nay, ít nhất chín cơ quan chính phủ và 100 công ty khu vực tư nhân đã bị vi phạm trong những gì được mô tả là một trong những hoạt động tinh vi nhất và được lên kế hoạch tốt nhất liên quan đến việc đưa bộ phận cấy ghép độc hại vào Nền tảng phần mềm Orion với mục tiêu làm tổn hại khách hàng của họ.
“Một sai lầm mà một thực tập sinh đã mắc phải.”
“Tôi có một mật khẩu mạnh hơn là ‘solarwinds123’ để ngăn con tôi xem quá nhiều YouTube trên iPad của chúng”, đại diện Katie Porter của California cho biết. “Bạn và công ty của bạn được cho là ngăn cản người Nga đọc email của Bộ Quốc phòng.”
“Tôi tin rằng đó là mật khẩu mà một sinh viên thực tập đã sử dụng trên một trong những máy chủ của anh ấy vào năm 2017. Mật khẩu này đã được báo cáo cho nhóm bảo mật của chúng tôi và nó đã bị xóa ngay lập tức”, Ramakrishna trả lời Porter.
Cựu Giám đốc điều hành Kevin Thompson lặp lại tuyên bố của Ramakrishna trong buổi làm chứng. “Điều đó liên quan đến một sai lầm mà một thực tập sinh đã mắc phải và họ đã vi phạm chính sách mật khẩu của chúng tôi và họ đã đăng mật khẩu đó trên tài khoản GitHub riêng tư của mình”, Thompson nói. “Ngay sau khi nó được xác định và thu hút sự chú ý của nhóm an ninh của tôi, họ đã gỡ nó xuống.”
Nhà nghiên cứu bảo mật Vinoth Kumar tiết lộ vào tháng 12 rằng anh ta đã thông báo cho công ty về một kho lưu trữ GitHub có thể truy cập công khai đang làm rò rỉ thông tin xác thực FTP của trang web tải xuống của công ty một cách rõ ràng, thêm một tin tặc có thể sử dụng thông tin đăng nhập để tải lên tệp thực thi độc hại và thêm nó vào bản cập nhật SolarWinds.
Trong những tuần sau tiết lộ, SolarWinds đã bị vụ kiện tập thể vào tháng 1 năm 2021, cáo buộc công ty không tiết lộ rằng “kể từ giữa năm 2020, các sản phẩm giám sát của SolarWinds Orion có một lỗ hổng cho phép tin tặc xâm nhập máy chủ mà sản phẩm chạy trên đó” và “máy chủ cập nhật của SolarWinds có mật khẩu dễ truy cập. của ‘solarwinds123’, “kết quả là công ty” sẽ bị tổn hại đáng kể về danh tiếng. “
NASA và FAA cũng được nhắm mục tiêu
Có tới 18.000 khách hàng của SolarWinds được cho là đã nhận được bản cập nhật Orion bị trojanized, mặc dù tác nhân đe dọa đằng sau hoạt động cẩn thận chọn mục tiêu của họ, chỉ chọn leo thang các cuộc tấn công trong một số ít trường hợp bằng cách triển khai phần mềm độc hại Teardrop dựa trên thông tin tích lũy được trong quá trình trinh sát ban đầu của môi trường mục tiêu cho các tài khoản và tài sản có giá trị cao.
Bên cạnh việc xâm nhập vào mạng của Microsoft, FireEye, Malwarebytes, CrowdStrike và Mimecast, những kẻ tấn công cũng được cho là đã sử dụng SolarWinds như một điểm khởi đầu để thâm nhập Cục Hàng không và Vũ trụ Quốc gia (NSA) và Cục Hàng không Liên bang (FAA), theo Washington Post.
Bảy cơ quan vi phạm khác là Bộ Ngoại giao, Tư pháp, Thương mại, An ninh Nội địa, Năng lượng, Kho bạc và Viện Y tế Quốc gia.
“Ngoài ước tính này, chúng tôi đã xác định thêm các nạn nhân của chính phủ và khu vực tư nhân ở các quốc gia khác và chúng tôi tin rằng có nhiều khả năng vẫn còn những nạn nhân khác chưa được xác định, có lẽ đặc biệt là ở các khu vực nơi di cư qua đám mây chưa tiến xa như là ở Hoa Kỳ, “Chủ tịch Microsoft Brad Smith cho biết trong phiên điều trần.
Nhóm đe dọa, được cho là Xuất xứ nga, đang được theo dõi dưới các biệt danh khác nhau, bao gồm UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) và Dark Halo (Volexity).
Phó Cố vấn An ninh Quốc gia Anne Neuberger: “Các tin tặc đã tiến hành cuộc tấn công từ bên trong Hoa Kỳ, điều này càng khiến chính phủ Hoa Kỳ khó quan sát hoạt động của họ”. nói trong một cuộc họp giao ban của Nhà Trắng vào tháng trước. “Đây là một diễn viên tinh vi đã cố gắng hết sức để che giấu dấu vết của họ. Chúng tôi tin rằng họ đã mất nhiều tháng để lập kế hoạch và thực hiện thỏa hiệp này.”
Áp dụng phương pháp tiếp cận “Bảo mật theo thiết kế”
Giống như cuộc tấn công mạng SolarWinds với “một loạt các cuộc xâm lược nhà quy mô lớn”, Smith thúc giục nhu cầu tăng cường chuỗi cung ứng phần mềm và phần cứng của lĩnh vực công nghệ, đồng thời thúc đẩy chia sẻ rộng rãi hơn thông tin về mối đe dọa để có các phản ứng theo thời gian thực trong các sự cố như vậy.
Để đạt được hiệu quả đó, Microsoft đã truy vấn CodeQL nguồn mở được sử dụng để tìm kiếm hoạt động của Solorigate, mà nó cho biết có thể được sử dụng bởi các tổ chức khác để phân tích mã nguồn của họ trên quy mô lớn và kiểm tra các chỉ số về sự thỏa hiệp (IoC) và các mẫu mã liên quan đến cuộc tấn công.
Trong một diễn biến liên quan, các nhà nghiên cứu an ninh mạng nói Tờ Wall Street Journal tiết lộ rằng các tin tặc Nga bị tình nghi đã sử dụng các trung tâm dữ liệu điện toán đám mây của Amazon để thực hiện một phần quan trọng của chiến dịch, đưa ra ánh sáng mới về phạm vi của các cuộc tấn công và các chiến thuật mà nhóm này sử dụng. Tuy nhiên, gã khổng lồ công nghệ vẫn chưa công khai thông tin chi tiết của mình về hoạt động hack.
Về phần mình, SolarWinds cho biết họ đang triển khai kiến thức thu được từ sự cố để phát triển thành một công ty “Bảo mật theo thiết kế” và họ đang triển khai thêm phần mềm bảo vệ mối đe dọa và săn tìm mối đe dọa trên tất cả các điểm cuối mạng của mình, bao gồm các biện pháp bảo vệ môi trường phát triển của mình .
