Атака на цепочку поставок SolarWinds Orion: Как это повлияло на финансовый сектор и что делать сейчас
Атаки на цепочки поставок, особенно через поставщиков ПО, стали кошмаром для финансового сектора.
Вспомните SolarWinds Orion (2020.3 HF2) и Mimikatz – классика жанра!
Атаки на цепочки поставок – это когда злоумышленники не атакуют напрямую цель (например, банк), а компрометируют одного из его поставщиков. Это как если бы воры подделали ключ от вашего дома не напрямую, а через компанию, которая устанавливала дверь.
Финансовый сектор особенно уязвим, потому что он зависит от множества поставщиков ПО и услуг. Представьте себе: системы управления базами данных, бухгалтерское ПО, инструменты анализа рисков, системы защиты от DDoS-атак… Каждый из этих поставщиков – потенциальная точка проникновения.
Атака на SolarWinds Orion, использующая уязвимость 2020.3 HF2 и инструменты типа Mimikatz, стала ярким примером того, насколько разрушительными могут быть такие атаки. Злоумышленники, проникнув в систему через легитимное обновление ПО, получили доступ к огромному количеству конфиденциальной информации.
Почему это головная боль? Потому что обнаружить и предотвратить такие атаки крайне сложно. Они требуют комплексного подхода к кибербезопасности, который включает в себя не только защиту периметра, но и тщательную проверку безопасности всех поставщиков.
SolarWinds Orion: Краткий обзор и уязвимость 2020.3 HF2
SolarWinds Orion – это платформа для мониторинга и управления IT-инфраструктурой, которую используют десятки тысяч организаций по всему миру, включая многие финансовые учреждения. Она позволяет отслеживать состояние серверов, сетевого оборудования, приложений и других компонентов IT-инфраструктуры.
Уязвимость 2020.3 HF2: Именно в этой версии (и в предыдущих) злоумышленники внедрили вредоносный код, получивший название Sunburst. Этот код маскировался под легитимные файлы SolarWinds Orion и распространялся вместе с обновлениями ПО.
Что делал Sunburst? После установки он «засыпал» на несколько дней, чтобы не вызывать подозрений. Затем он устанавливал связь с командным сервером злоумышленников и начинал сбор информации о зараженной системе.
Почему это так опасно? Потому что SolarWinds Orion имеет широкие права доступа к IT-инфраструктуре организации. Это значит, что злоумышленники, получив контроль над Orion, могли перемещаться по сети, получать доступ к конфиденциальной информации и устанавливать дополнительное вредоносное ПО, такое как Mimikatz, для кражи учетных данных.
Важно: Уязвимость 2020.3 HF2 была не единственной, но именно она стала «точкой входа» для этой масштабной атаки.
Как произошла атака: От проникновения до Sunburst Malware
Атака началась с проникновения в сеть SolarWinds. Как именно это произошло – до сих пор предмет споров, но предполагается, что злоумышленники использовали уязвимость в процессе разработки ПО или скомпрометировали учетные записи разработчиков.
Далее они внедрили вредоносный код (Sunburst malware) в процесс сборки Orion. Этот код был тщательно замаскирован под легитимные файлы и подписывался цифровой подписью SolarWinds, что затрудняло его обнаружение.
После этого, зараженное обновление Orion (включая версию 2020.3 HF2) распространялось среди клиентов SolarWinds. При установке обновления, Sunburst «засыпал» на несколько дней, а затем начинал собирать информацию о системе и отправлять ее на командный сервер злоумышленников.
Ключевые этапы атаки:
- Проникновение в сеть SolarWinds.
- Внедрение вредоносного кода в процесс сборки Orion.
- Распространение зараженного обновления.
- Активация Sunburst malware на зараженных системах.
- Сбор и передача информации злоумышленникам.
Этот сложный и многоступенчатый процесс позволил злоумышленникам получить доступ к большому количеству конфиденциальной информации, включая данные, принадлежащие финансовым учреждениям.
APT29: Кто стоит за атакой и их цели
Большинство экспертов сходятся во мнении, что за атакой на SolarWinds стоит группа APT29 (также известная как Cozy Bear или Nobelium). Это хакерская группа, предположительно связанная с российской Службой внешней разведки (СВР).
Почему APT29? Анализ вредоносного кода, инфраструктуры и методов атаки показал сходство с предыдущими операциями, приписываемыми APT29. Кроме того, цели атаки (государственные учреждения, технологические компании, оборонные подрядчики) соответствуют интересам российской разведки.
Цели APT29 в атаке на SolarWinds:
- Сбор разведывательной информации: Получение доступа к конфиденциальной информации о деятельности государственных учреждений, технологических компаний и других организаций.
- Геополитический шпионаж: Сбор информации о политических и экономических процессах в различных странах.
- Кража технологий: Получение доступа к передовым технологиям и разработкам.
Важно: Несмотря на то, что прямых доказательств причастности APT29 к атаке нет, совокупность косвенных улик указывает именно на эту группу. Официальные лица США и Великобритании также публично обвинили APT29 в организации атаки.
Влияние на финансовый сектор: Хотя финансовый сектор не был основной целью атаки, многие финансовые учреждения использовали SolarWinds Orion и, следовательно, могли быть скомпрометированы. Это могло привести к утечке конфиденциальной информации, финансовому шпионажу и другим негативным последствиям.
Финансовый сектор под ударом: Масштабы проникновения и утечка данных
Точные масштабы проникновения в финансовый сектор в результате атаки на SolarWinds оценить сложно, так как многие организации не разглашают информацию о компрометации. Однако, известно, что многие крупные банки и финансовые институты использовали SolarWinds Orion и, следовательно, были потенциально уязвимы.
Типы скомпрометированных данных:
- Персональные данные клиентов: Имена, адреса, номера телефонов, номера социального страхования и другие идентификационные данные.
- Финансовая информация: Номера банковских счетов, кредитных карт, данные о транзакциях и инвестициях.
- Внутренняя документация: Финансовые отчеты, планы развития, данные о сделках и другая конфиденциальная информация.
- Учетные данные сотрудников: Имена пользователей и пароли, которые могли быть использованы для доступа к другим системам.
Потенциальные последствия для финансового сектора:
- Утечка данных и кража личной информации клиентов.
- Финансовый ущерб в результате мошеннических операций.
- Репутационный ущерб и потеря доверия клиентов.
- Компрометация критически важных систем и нарушение работы финансовых институтов.
Хотя нет публичных данных о крупных утечках непосредственно связанных с SolarWinds и финансовым сектором, потенциальная возможность компрометации огромного количества данных остается серьезной проблемой.
Post-Compromise активность: Lateral Movement и Mimikatz
После успешного проникновения через SolarWinds Orion, злоумышленники перешли к активной фазе post-compromise. Их целью было закрепиться в сети, получить доступ к как можно большему количеству систем и украсть ценные данные.
Lateral movement (горизонтальное перемещение): Злоумышленники использовали различные техники для перемещения между системами в сети. Это включало в себя:
- Использование украденных учетных данных: Получив доступ к учетным записям пользователей (например, через Mimikatz), злоумышленники использовали их для входа в другие системы.
- Эксплуатация уязвимостей: Поиск и эксплуатация известных уязвимостей в программном обеспечении.
- Использование легитимных инструментов: Использование встроенных инструментов Windows (например, PowerShell) для выполнения команд и перемещения файлов.
Mimikatz: Этот инструмент использовался для извлечения учетных данных (имен пользователей и паролей) из памяти скомпрометированных систем. Полученные учетные данные затем использовались для дальнейшего горизонтального перемещения и получения доступа к более критичным системам.
Почему это так опасно для финансового сектора? Потому что злоумышленники, получив доступ к одной системе, могли использовать ее как плацдарм для атаки на другие системы, включая те, которые содержат конфиденциальную финансовую информацию.
Пример: Злоумышленники, проникнув в систему администратора IT, могли использовать Mimikatz для кражи его учетных данных, а затем использовать эти учетные данные для доступа к серверам баз данных, содержащих информацию о клиентах банка.
Инструменты киберпреступников: Что использовалось в атаке SolarWinds Orion
Атака на SolarWinds Orion отличалась сложной организацией и использованием широкого спектра инструментов. Вот некоторые из них:
- Sunburst (вредоносное ПО): Основной бэкдор, внедренный в обновления SolarWinds Orion. Он использовался для сбора информации о зараженной системе и установления связи с командным сервером злоумышленников.
- TEARDROP (вредоносное ПО): Второй этап вредоносного ПО, который загружался после Sunburst. Он использовался для доставки дополнительной полезной нагрузки, включая Mimikatz.
- Mimikatz: Инструмент для извлечения учетных данных из памяти скомпрометированных систем.
- Cobalt Strike: Коммерческий инструмент для тестирования на проникновение, который использовался злоумышленниками для управления зараженными системами и организации lateral movement.
- PowerShell: Встроенный инструмент Windows, который использовался для выполнения команд, перемещения файлов и других действий. Злоумышленники злоупотребляли легитимными функциями PowerShell для маскировки своей деятельности.
- Легитимные инструменты SolarWinds Orion: Злоумышленники использовали легитимные функции SolarWinds Orion для сбора информации о сети и перемещения между системами.
Ключевые особенности инструментов:
- Скрытность: Злоумышленники старались использовать инструменты, которые трудно обнаружить, такие как PowerShell и легитимные функции SolarWinds Orion.
- Автоматизация: Многие задачи были автоматизированы с помощью скриптов и других инструментов, что позволяло злоумышленникам быстро перемещаться по сети и собирать информацию.
- Универсальность: Злоумышленники использовали различные инструменты для разных задач, что позволяло им адаптироваться к различным ситуациям.
Знание инструментов, использованных в атаке, помогает организациям выявлять и предотвращать подобные атаки в будущем.
Indicators of Compromise (IOCs) SolarWinds: На что обращать внимание
Indicators of Compromise (IOCs) – это улики, которые указывают на то, что система была скомпрометирована. В случае атаки на SolarWinds Orion, IOCs могут помочь выявить зараженные системы и принять меры по предотвращению дальнейшего распространения атаки.
Основные категории IOCs для SolarWinds Orion:
- Хеш-суммы файлов: Проверка хеш-сумм файлов SolarWinds Orion на соответствие известным вредоносным хеш-суммам Sunburst и TEARDROP.
- Сетевой трафик: Обнаружение необычного сетевого трафика, связанного с командными серверами злоумышленников. Это может включать в себя DNS-запросы к подозрительным доменам и HTTP-запросы с определенными параметрами.
- Записи в журналах событий: Анализ журналов событий Windows на наличие подозрительной активности, такой как запуск PowerShell с необычными параметрами или попытки входа в систему с использованием украденных учетных данных.
- Изменения в файловой системе: Обнаружение изменений в файлах и каталогах SolarWinds Orion, которые могут указывать на наличие вредоносного ПО.
- Процессы: Обнаружение подозрительных процессов, запущенных от имени SolarWinds Orion, которые могут указывать на активность Sunburst или TEARDROP.
Примеры конкретных IOCs:
- Определенные хеш-суммы файлов SolarWinds Orion.
- Домены, используемые командными серверами злоумышленников (например, avsvmcloud[.]com).
- Шаблоны сетевого трафика, указывающие на связь с командными серверами.
- Записи в журналах событий, указывающие на запуск PowerShell с закодированными командами.
Важно: Список IOCs постоянно обновляется, поэтому необходимо использовать актуальные источники информации для выявления зараженных систем.
Анализ атаки SolarWinds: Уроки для кибербезопасности банковской системы
Атака на SolarWinds Orion стала тревожным звонком для всей индустрии кибербезопасности, особенно для банковской системы, которая является критически важной инфраструктурой. Вот некоторые уроки, которые следует извлечь:
- Риски цепочек поставок: Необходимо тщательно оценивать риски, связанные с использованием стороннего программного обеспечения. Это включает в себя проверку безопасности поставщиков, анализ кода и регулярное обновление ПО.
- Принцип наименьших привилегий: Необходимо предоставлять пользователям и приложениям только те права доступа, которые необходимы для выполнения их задач. Это может ограничить ущерб в случае компрометации.
- Мониторинг и обнаружение аномалий: Необходимо внедрять системы мониторинга, которые могут выявлять необычную активность в сети и на конечных точках. Это может помочь обнаружить атаки на ранних стадиях.
- Реагирование на инциденты: Необходимо иметь четкий план реагирования на инциденты кибербезопасности, который включает в себя процедуры обнаружения, анализа, сдерживания и восстановления.
- Усиление аутентификации: Внедрение многофакторной аутентификации может значительно снизить риск использования украденных учетных данных.
- Сегментация сети: Разделение сети на сегменты может ограничить распространение атаки в случае компрометации одного из сегментов.
Как это применимо к банковской системе? Банки должны уделять особое внимание безопасности своих поставщиков ПО и услуг, а также внедрять строгие меры контроля доступа и мониторинга безопасности. Атака на SolarWinds показала, что даже самые защищенные организации могут стать жертвами атак через цепочки поставок.
Важно: Кибербезопасность – это непрерывный процесс, который требует постоянного совершенствования и адаптации к новым угрозам.
Рекомендации по безопасности финансового сектора: Как защититься от атак на цепочку поставок
Атаки на цепочку поставок представляют серьезную угрозу для финансового сектора. Чтобы защититься от таких атак, необходимо принять комплексные меры, охватывающие все этапы жизненного цикла программного обеспечения и IT-инфраструктуры.
Ключевые рекомендации:
- Управление рисками поставщиков: Проводить тщательную оценку рисков, связанных с использованием стороннего программного обеспечения и услуг. Это включает в себя анализ безопасности поставщиков, проверку их процессов разработки и внедрение строгих контрактных условий.
- Усиление контроля доступа: Внедрить принцип наименьших привилегий и многофакторную аутентификацию для всех пользователей и приложений. Регулярно пересматривать и обновлять права доступа.
- Мониторинг безопасности: Внедрить системы мониторинга безопасности, которые могут выявлять аномальную активность в сети, на конечных точках и в приложениях. Использовать Threat Intelligence для обнаружения известных угроз и IOCs.
- Реагирование на инциденты: Разработать и регулярно тестировать план реагирования на инциденты кибербезопасности. Обеспечить наличие квалифицированных специалистов по реагированию на инциденты.
- Сегментация сети: Разделить сеть на сегменты, чтобы ограничить распространение атак в случае компрометации одного из сегментов.
- Безопасная разработка ПО: Внедрить практики безопасной разработки ПО (Secure SDLC), которые включают в себя анализ угроз, тестирование безопасности и регулярное обновление ПО.
- Регулярное обновление ПО: Своевременно устанавливать обновления безопасности для всех используемых программных продуктов, включая операционные системы, приложения и встроенное ПО.
Специфические рекомендации для банковской системы:
- Соблюдение нормативных требований в области кибербезопасности (например, PCI DSS, SWIFT CSP).
- Внедрение строгих мер контроля доступа к финансовым данным.
- Регулярное тестирование на проникновение и аудит безопасности.
Атака на SolarWinds Orion стала переломным моментом, показавшим уязвимость современных организаций к атакам через цепочки поставок. В будущем, эти атаки будут становиться все более сложными и изощренными, и финансовому сектору необходимо быть готовым к новым вызовам.
Тенденции в кибербезопасности:
- Более активное использование искусственного интеллекта и машинного обучения: Для обнаружения и предотвращения атак.
- Усиление нормативного регулирования в области кибербезопасности: Для защиты критической инфраструктуры и персональных данных.
- Рост числа атак на цепочки поставок: Злоумышленники будут продолжать искать слабые звенья в цепочках поставок для проникновения в организации.
- Развитие технологий защиты от атак через цепочки поставок: Появление новых инструментов и методов для защиты от компрометации стороннего ПО.
Что необходимо делать сейчас:
- Внедрить комплексные меры безопасности, охватывающие все этапы жизненного цикла IT-инфраструктуры и программного обеспечения.
- Усилить контроль за поставщиками и их безопасностью.
- Повышать осведомленность сотрудников о киберугрозах.
- Инвестировать в новые технологии и решения в области кибербезопасности.
Будущее кибербезопасности – это постоянная борьба между атакующими и защищающимися. Организации, которые будут уделять достаточно внимания кибербезопасности и адаптироваться к новым угрозам, смогут минимизировать риски и защитить свои активы.
Для лучшего понимания масштаба проблемы и способов защиты, приведем таблицу с ключевыми аспектами атаки SolarWinds Orion и мерами защиты:
| Аспект | Описание | Меры защиты |
|---|---|---|
| Вектор атаки | Атака на цепочку поставок через обновление SolarWinds Orion (версия 2020.3 HF2). | Усиленный контроль за поставщиками, анализ безопасности ПО, безопасная разработка (Secure SDLC). |
| Вредоносное ПО | Sunburst (бэкдор) и TEARDROP (доставка полезной нагрузки, включая Mimikatz). | Использование антивирусного ПО, систем обнаружения вторжений (IDS/IPS), Threat Intelligence. |
| Инструменты злоумышленников | Mimikatz (кража учетных данных), Cobalt Strike (управление зараженными системами), PowerShell. | Ограничение использования PowerShell, усиление аутентификации, мониторинг активности Mimikatz. |
| Цели атаки | Государственные учреждения, технологические компании, финансовый сектор. | Сегментация сети, усиленный контроль доступа к критически важным системам. |
| Утечка данных | Персональные данные клиентов, финансовая информация, внутренняя документация. | Шифрование данных, резервное копирование, DLP (Data Loss Prevention) системы. |
| Последствия | Финансовый ущерб, репутационный ущерб, компрометация критически важных систем. | План реагирования на инциденты, страхование киберрисков. |
Для наглядности, сравним различные типы атак на цепочки поставок и меры защиты от них:
| Тип атаки | Описание | Примеры | Меры защиты | Сложность реализации |
|---|---|---|---|---|
| Компрометация ПО | Внедрение вредоносного кода в легитимное ПО. | SolarWinds Orion (Sunburst), NotPetya. | Анализ безопасности ПО, Secure SDLC, контроль целостности. | Высокая |
| Атака на поставщиков | Компрометация поставщиков услуг для доступа к клиентам. | Target (через HVAC-подрядчика), атака на Kaseya. | Оценка рисков поставщиков, контроль доступа, мониторинг. | Средняя |
| Атака на Open Source | Внедрение вредоносного кода в Open Source библиотеки. | npm packages (event-stream), PyPI packages. | Аудит Open Source зависимостей, использование SAST/DAST инструментов. | Средняя |
| Подделка оборудования | Подмена или модификация аппаратного обеспечения. | Supermicro (Bloomberg Businessweek статья). | Проверка подлинности оборудования, контроль цепочки поставок. | Высокая |
FAQ
В: Что такое атака на цепочку поставок?
О: Это атака, при которой злоумышленники компрометируют организацию через ее поставщиков, а не напрямую.
В: Почему финансовый сектор так уязвим к атакам на цепочку поставок?
О: Финансовый сектор сильно зависит от сторонних поставщиков ПО и услуг, что создает множество точек входа для злоумышленников.
В: Что такое SolarWinds Orion и почему он стал целью атаки?
О: SolarWinds Orion — платформа для мониторинга IT-инфраструктуры, используемая тысячами организаций. Она стала целью, так как позволяла злоумышленникам получить доступ к большому количеству систем.
В: Кто стоял за атакой на SolarWinds Orion?
О: Большинство экспертов считают, что за атакой стоит группа APT29 (Cozy Bear), предположительно связанная с российской СВР.
В: Что такое Mimikatz и как он использовался в атаке?
О: Mimikatz — инструмент для извлечения учетных данных из памяти. Он использовался для кражи паролей и дальнейшего перемещения по сети.
В: Какие меры предосторожности могут принять финансовые учреждения для защиты от атак на цепочку поставок?
О: Управление рисками поставщиков, усиление контроля доступа, мониторинг безопасности, реагирование на инциденты, сегментация сети, безопасная разработка ПО, регулярное обновление ПО.
В: Что такое Indicators of Compromise (IOCs) и как они могут помочь в обнаружении атак?
О: IOCs — это улики, указывающие на компрометацию системы. Они помогают выявить зараженные системы и предотвратить дальнейшее распространение атаки (хеш-суммы, сетевой трафик, записи в журналах).
В: Где можно получить актуальную информацию об IOCs, связанных с атакой SolarWinds Orion?
О: Отчеты компаний, занимающихся кибербезопасностью, базы данных угроз, правительственные ресурсы.
Представляем таблицу с детализированным разбором угроз, связанных с атаками на цепочки поставок, и контрмерами для финансового сектора:
| Угроза | Описание угрозы | Вероятность | Потенциальный ущерб | Контрмеры | Стоимость реализации контрмеры |
|---|---|---|---|---|---|
| Компрометация поставщика ПО | Внедрение вредоносного кода в ПО, используемое финансовыми учреждениями. | Средняя | Высокий (утечка данных, финансовые потери, репутационный ущерб) | Анализ безопасности кода, контроль целостности, Secure SDLC у поставщиков, аудит безопасности. | Высокая |
| Атака на инфраструктуру поставщика | Компрометация серверов или сетей поставщика, используемых для предоставления услуг финансовым учреждениям. | Средняя | Средний (нарушение доступности услуг, утечка данных) | Мониторинг безопасности поставщика, контроль доступа, план аварийного восстановления. | Средняя |
| Инсайдерская угроза у поставщика | Злонамеренные действия сотрудников поставщика, имеющих доступ к конфиденциальной информации. | Низкая | Средний (утечка данных, финансовые потери) | Проверка сотрудников поставщика, контроль доступа, мониторинг действий пользователей. | Средняя |
| Атака на Open Source зависимости | Внедрение вредоносного кода в библиотеки Open Source, используемые финансовыми учреждениями. | Средняя | Средний (утечка данных, нарушение работы приложений) | Аудит Open Source зависимостей, использование SAST/DAST инструментов, регулярное обновление библиотек. | Низкая |
Представляем таблицу с детализированным разбором угроз, связанных с атаками на цепочки поставок, и контрмерами для финансового сектора:
| Угроза | Описание угрозы | Вероятность | Потенциальный ущерб | Контрмеры | Стоимость реализации контрмеры |
|---|---|---|---|---|---|
| Компрометация поставщика ПО | Внедрение вредоносного кода в ПО, используемое финансовыми учреждениями. | Средняя | Высокий (утечка данных, финансовые потери, репутационный ущерб) | Анализ безопасности кода, контроль целостности, Secure SDLC у поставщиков, аудит безопасности. | Высокая |
| Атака на инфраструктуру поставщика | Компрометация серверов или сетей поставщика, используемых для предоставления услуг финансовым учреждениям. | Средняя | Средний (нарушение доступности услуг, утечка данных) | Мониторинг безопасности поставщика, контроль доступа, план аварийного восстановления. | Средняя |
| Инсайдерская угроза у поставщика | Злонамеренные действия сотрудников поставщика, имеющих доступ к конфиденциальной информации. | Низкая | Средний (утечка данных, финансовые потери) | Проверка сотрудников поставщика, контроль доступа, мониторинг действий пользователей. | Средняя |
| Атака на Open Source зависимости | Внедрение вредоносного кода в библиотеки Open Source, используемые финансовыми учреждениями. | Средняя | Средний (утечка данных, нарушение работы приложений) | Аудит Open Source зависимостей, использование SAST/DAST инструментов, регулярное обновление библиотек. | Низкая |
