一个“最糟糕的噩梦”的网络攻击:太阳能风波破解的不统一故事

2021-04-17 20:29:33

常规软件更新可能是我们数字生活中最熟悉和最不理解的部分之一。弹出窗口宣布其到达,我们所需要的所有内容都是在床前插入一切。第二天早上,而不是像鞋匠和精灵一样,我们的软件在神奇地转变。

去年春天,一家名为Solarwinds的基于德克萨斯州的公司,为其客户提供了一个这样的软件更新。它应该提供定期的票价 - 错误修复,性能增强 - 对公司' S流行网络管理系统,一个名为ORION的软件程序,这在公司和#39; S网络中的所有各种组成部分都保持着注意的眼睛。客户只需登录公司' S软件开发网站,键入密码,然后等待更新以无缝地登陆其服务器。

黑客被认为是由俄罗斯智能服务的SVR指导的,用于使用常规软件更新将恶意代码滑入Orion' S软件,然后用它作为对美国巨大网络攻击的车辆。

"十八千人[客户]是我们在2020年3月和6月之间下载代码的最佳估计," Solarwinds总裁兼首席执行官Sudhakar Ramakrishna告诉NPR。 "如果你需要18,000,并开始筛选它,所影响的客户的实际数量远远少。我们不知道确切的数字。我们仍在进行调查。"

星期四,拜登政府宣布对俄罗斯的艰难制裁,作为其特征为&#34的一部分;看到和看不见的"对Solarwinds违规的回应。

NPR'对该地标攻击的几个月核查 - 基于与公司官员的几十名玩家的访谈来到Cyber​​取证专家的受害者,以及正在校准拜登管理的智力官员' s响应 - 揭示了一个像其他任何其他人一样的黑客,由一位复杂的对手推出,他们瞄准了数字寿命的软骨柔软:常规软件更新。

通过设计,黑客似乎仅在非常具体的情况下工作。它的受害者必须下载污染的更新,然后实际部署它。这是第一个条件。第二是,他们的受损网络需要连接到互联网,因此黑客可以与他们的服务器通信。

因此,Ramakrishna认为俄罗斯人成功地损害了大约100家公司和大约十几个政府机构。该公司包括微软,英特尔和思科;到目前为止,联邦机构名单包括财政部,司法和能源部门和五角大楼。

黑客也发现了他们的方式,而是令人尴尬地进入网络安全和基础设施安全机构,或Cisa - 国土安全部的办公室,其工作是保护联邦电脑网络免受网络立场。

关注的是,相同的访问权限,使俄罗斯人能够窃取数据的能力也可以让他们改变或破坏它。 "演员可以从间谍活动移动到劣化或中断网络的速度在眨眼之间,"一位高级政府在周四从白宫的背景发布期间表示。 "后卫不能以这种速度移动。鉴于俄罗斯的历史'在网络空间中的恶意活动和网络空间中的鲁莽行为,这是一个关键问题。"

网络监控软件是我们从未看到过的后备工作的关键部分。像orion这样的程序允许信息技术部门查看一个屏幕并检查他们的整个网络:服务器或防火墙,或者在第五楼的打印机保持脱机。通过其本质,它触及了一切 - 这就是为什么黑客攻击它是天才。

"它真的是你最糟糕的噩梦," Solarwinds的安全副总裁Tim Brown最近说。 "你觉得一种恐怖。这有可能影响成千上万的客户;这有可能做出大量伤害。"

当网络安全专家谈论伤害时,他们'重新考虑一些像2017年发生的事情的东西,当时俄罗斯军队推出了被称为Notpetya的赎金软件攻击。它也是用污染的软件开始,但在这种情况下,黑客被毁坏了。他们种植了贬低跨国公司的勒索软件,并将世界各地的人们永久锁定了数万台计算机。即便如此之后,它也被认为是历史上最具破坏性和昂贵的网络角质。

情报官员担心Solarwinds可能会在该规模上展示一些东西。当然,黑客有时间做伤害。他们在美国电脑网络周围漫游九个月,目前尚不清楚他们只是阅读电子邮件,并做事情通常是间谍,或者他们是否正在种植未来更具破坏性的东西。

"当国家进行的网络 - 间谍活动时,Fireeye在目标清单上,"凯文曼迪亚,Cyeburity公司Fireeye的首席执行官告诉NPR,但他认为现在有其他不太明显的目标现在可能需要更多的保护。 "我认为实用程序可能在该列表中。我认为医疗保健可能会在该清单上。而且你不一定想成为最有能力的冒犯比赛的公平游戏名单。"

Solarwinds攻击者在新颖的黑客技术中运行了一类主课程。它们修改了密封的软件代码,创建了一个系统,该系统使用域名来选择目标并模仿ORION软件通信协议,以便隐藏在普通的视线中。然后,他们做了任何良好的操作会做的事情:他们清理了犯罪现场,如此彻底的调查人员可以'当然被证明是谁落后于此。白宫明确表示,俄罗斯智慧在黑客后面。俄罗斯为其部分否认了任何参与。

"商展是现象,"亚当迈耶斯说,曾代表Solarwinds宣传的Cyber​​ Forensics团队,这是一个污染的更新,首次提供了关于他们发现的内容的细节。他说,代码是优雅的,创新,然后加入,"这是我梦见的最疯狂的f ***;"

Meyers是网络安全公司Crowdstrike的威胁情报副总裁,他看到了史诗般的攻击。他在2014年的索尼黑客工作,当时朝鲜破解了公司和第39位的服务器并发布了电子邮件和第一次运行电影。一年后,当一个被疑似的克里姆林林背后的黑客球队称为"舒适的熊"除其他外,还偷走了来自民主国家委员会的电子邮件。 Wikileaks然后将它们释放到2016年的选举中。

"我们每天都参与全球各种事件,"迈耶斯说。通常,他指导团队,他并没有运行它们。但Solarwinds是不同的:"当我开始介绍后,我意识到[这]实际上是一个很大的交易。"

攻击开始用一条微小的代码。迈耶斯追溯到2019年9月12日。"这个小型代码没有做任何事情,"迈耶斯说。 "它的实际上只是检查计算机上运行的处理器,如果是32或64位处理器,并且如果它是另一个或另一个,则返回零或一个处理器。"

事实证明,代码片段是概念证明 - 一个小型试用气球,看看是否有可能修改Solarwinds'签名和密封的软件代码,将其发布,然后稍后将其视为下载的版本。他们意识到他们可以。 "所以在这一点上,他们知道他们可以拉出供应链攻击,#34;迈耶斯说。 "他们知道他们有这种能力。"

在这次初步成功之后,黑客消失了五个月。当他们在2020年2月回到2020年时,迈耶斯说,他们掌握着一个惊人的新植入物,它在发布之前交付了一名后门。

要了解为什么这是显着的,您需要知道完成的软件代码有一种数字工厂密封。如果你打破那张印章,有人可以看到它,并且知道代码可能被篡改。迈耶斯说,黑客基本上发现了一种在该工厂密封下的方法。

他们开始植入代码,这些代码在Solarwinds开发团队中的某些人准备建立新软件时告诉他们。他们理解,创建软件或更新的过程通常从某些例程开始,例如检查从数字存储库中的代码,类似于检查库的书籍。

在正常情况下,开发人员将代码从存储库中取出,进行更改,然后重新检查。一旦他们完成修补,他们就会启动称为构建过程的东西,它基本上翻译了计算机可以读取的代码读取代码计算机的代码。此时,代码清洁并测试。黑客之后,这是诀窍。

当Solarwinds代码编译时,它们将使用内部的恶意代码创建临时更新文件。黑客和#39;恶意代码告诉机器在临时文件中交换而不是SolarWinds版本。 "我认为很多人可能认为它是' s已被修改的源代码,"迈耶斯说,但是,黑客使用了一种诱饵和开关。

但是,迈耶斯说,这也很有趣。黑客理解,Solarwinds等公司通常在开始建立更新之前审核代码,只是为了确保一切都应该是。因此,当更新从源代码(可被人读取)到可执行的代码(计算机读取)到向客户提供的软件时,它们确保将切换到临时文件发生在最后一个可能的第二次。

这种技术提醒迈耶对捣蛋或治疗的旧恐惧。几十年来,有一个城市神话,孩子们可以在检查包装封印之前吃任何万圣节糖果,因为坏人可能会把剃刀刀片放在里面。迈耶斯说,黑客用代码做了什么,有点像那样。

"想象那些reese' s花生酱杯进入包装,就在机器下降并密封包装之前,其他一些东西进来并将剃须刀刀溜入你的里斯'花生酱杯,"他说。黑客而不是剃刀刀片,而是将文件交换所以"包裹被密封,它越过商店。"

走向Solarwinds&#39的更新;客户是危险的花生酱杯 - 软件的恶意版本包括代码,这些代码将为黑客提供无限的,未检测到的任何ORION用户下载和部署更新并连接到Internet的代码。

但是,这段代码困扰着迈耶斯的其他代码:它是amn' t只是适合solarwinds。 "当我们查看[IT]时,它可以重新配置任何数量的软件产品,"迈耶斯说。换句话说,使用相同编译器的任何数量的其他软件开发人员也可能在网络内的接收端,他说,他们只是不知道。

Meyers说它'难以欣赏黑客投入这种操作的想法。考虑他们确定目标的方式。突破进入这么多客户网络的缺点是难以决定首先剥削什么。因此,黑客创建了一个被动域名服务器系统,它发送了不仅仅是一个IP地址的小消息,它只是一系列数字,还具有潜在目标的缩略图。

"那么他们可以说,'好的,我们'重新去了这个点GOV目标或其他什么,' "迈耶斯说。 "我想晚些人明确说,有很多政府技术公司被瞄准。"

黑客也反向设计了与服务器通信的方式,并建立了自己的编码指令模仿ORION' s语法和格式。那是什么让黑客看起来像他们是"说话" orion,所以他们的消息流量看起来像软件的自然扩展。

"所以一旦他们确定一个目标是感兴趣的,他们就可以说,'好的,让' s veactive,let' s操纵文件,让' s更改的东西,& #39; "迈耶斯说,然后他们会在他们创造的后门被忽视。 "还有另外一件事我应该提到:这个后门会在它实际上活跃在主机上的时候等待两周。这是一个非常耐心的对手。"

私营公司或政府似乎已经看到了袭击事件的徒步旅行没有。克里斯托弗Krebs,他们一直负责在特朗普政府期间在DHS受到DHS的政府网络的办公室,告诉NPR,DHS'目前的系统,已知(无讽刺)作为爱因斯坦,只捕获了已知的威胁。他说,Solarwinds Breach是"太新颖了。"

"向上的90 [%]威胁的90%是基于已知的技术,已知的网络和#34;克雷斯解释道。 "而且它不仅仅是犯罪行为者,也不只是犯罪行为者,包括俄罗斯情报机构和俄罗斯军队。这是先前未识别的技术。"

还有其他东西,爱因斯坦没有做到:它不做' t扫描软件更新。因此,即使黑客使用代码,Einstein会被认可的坏,系统也可能没有看到它,因为它是在其中一个例行软件更新中提供的。

国家安全局和军事'我们的美国网络命令也陷入平息。广泛地说,他们的网络运营商坐在外国网络,在他们发生之前寻找网络攻击迹象。他们可以看到可疑的活动,卫星可能会看到卫星可能会在边界上积累散发。批评者表示,他们应该看到俄罗斯情报服务的黑客,SVR,准备这次攻击。

" SVR有一个非常好的理解,NSA正在寻找,"克雷斯说。 " SVR能够做的事情是从他们从美国网络运营的地方进行过渡。他们像鬼一样移动。他们很难跟踪。"

官员证实,黑客没有做任何想法,让他们提供国内足迹。事实上,他们只是租用了亚马逊和Godaddy的服务器。

7月初,华盛顿州的创始人史蒂文·阿尔西特(STeven Adair),D.C.的网络安全公司称为volexity,在客户和#39; S计算机上看到了一些可疑活动。 "我们追溯到它,我们认为它可能与Solarwinds,&#34的更新有关; Adair告诉NPR。 "我们解决了这个问题,确保没有人在我们的客户中'系统,我们离开了它。"

Adair说他没有觉得他有足够的细节向Solarwinds或美国政府报告问题。 "我们认为我们没有足够的证据来伸出援手,"他说。

第二个是三个月后,当一个基于加利福尼亚州的网络安全公司被称为Palo Alto网络的公司发现了一个恶意后门,似乎从猎户座软件中散发出来。

在这种情况下,根据Solarwinds' Ramakrishna,Solarwinds和Palo Alto的安全团队一起工作了三个月的时间来拿起这个问题的线程并将其走回。 "我们都不能在那一点确定供应链攻击," Ramakrishna告诉NPR。 "由于这个机票已经关闭。如果我们有着后智的利益,我们就可以追溯到它的追溯"到了黑客。

Palo Alto Networks已同意上个月与NPR发表讲话,然后在应该在应该发生之前一小时取消面试。发言人拒绝说为什么和发出一些博客帖子并写下:"我担心这就是我们所拥有的一切。"

这是终于发现了入侵的网络安全公司伊利亚伊。 Mandia,公司'首席执行官,曾经是美国空军办公室的特殊调查,所以他的专业是刑事案件和违反意识。在中间年内,他学会在特殊调查中认识的各种模式一直出现在他的网络安全工作中。

黑客已经发现他们进入Fireeye的第一个指示'网络以无害的方式出现。 Fireeee Security团队的某人注意到,员工似乎有两部手机在他的网络上注册,所以她叫他。 "那个电话是我们意识到,嘿,这是我们的员工注册第二部手机,它是别人,"曼迪亚说。

Mandia在短时间内进行了安全简报,他听到的一切都让他提醒他以前的军队工作。 "我有很多模式识别,"他告诉NPR。 "我从1996年到1998年回应了我将等同于俄罗斯的外国情报服务,并且在第一次简报中有一些指标与我在空军的经验一致。"

他在同一天召开了董事会。 "它只是觉得我总是担心的违规行为。"

他的团队在几个星期内发现了什么,这不仅有没有入侵者在网络中,但有人偷了杀死工具的阿森纳,Fireeye用于测试自己的客户的安全性'网络。 Fireeye叫做FBI,将详细的报告放在一起,一旦确定了Orion软件是问题的来源,它称为Solarwinds。

布朗,在Solarwinds的安全副总裁们,乘坐星期六早上的电话。 "他说,'基本上,我们' ve对你的代码进行了分解。我们发现恶意代码,' "布朗说。 Fireeeye是Solarwinds"已经发货了污染的代码。"

被污染的代码让黑客进入Fireeyye'网络,并且肯定也有其他人受到损害。 "我们听到不同的记者已经挖出了勺子,"曼迪亚说。 "我的手机实际上来自记者,那个人知道,我去了,好的,我们'"

之后,事件似乎加快了。 Solarwinds'首席安全官,棕色,叫罗恩·普罗斯省,这是一个公司DLA Piper的律师,并告诉他发生了什么。在网络内人之后,公司倾向于在网络内倾向于雇用律师之一,他们将他们负责调查。他们这样做是为了特定原因 - 这意味着他们发现的一切受到律师 - 客户特权保护,通常在法庭上没有发现。

普罗斯省普罗斯省制定了网络犯罪的特色,一旦故事打破它就会说"到世界,准备,设置,去,回到它之后," Plesco说。 "所以这让您在两个前面的加速时间表上:弄清楚如果可以并尽快获得修复。"

该公司与DHS合作,制定12月13日出门的陈述。

要调查黑客,您必须确保数字犯罪现场。 正如物理世界中的侦探都要拿着对调查的印刷品的证据和灰尘,那么Solarwinds必须将电脑日志拉到一起,制作文件的副本,确保有一个记录的拘留链,一切都在试图确保黑客的同时 在它的系统内观察他们所做的一切,Weren' "我一直在举行的情况下,而你&#3 ......