billede-1-158

SolarWinds blev hacket 6 måneder tidligere end først afsløret

Man kender en historie, indtil historien ændre sig. Bedst som man troede, at man vidste alt om Solarwinds malwaren, viser en anden historie nu, at historien skal ændres.

I maj 2020 bemærkede det amerikanske justitsministerium russiske hackere i sit netværk, men indså ikke betydningen af, hvad det havde fundet sted i seks måneder. At man ikke kan indse betydningen af dette, er jo komplet uforståeligt og får dette og andre ministerier til at ligne nogle der er ligeglade. Med helt almindelige sensorer har der været hundredvis ja måske tusinde sensor udslag som ikke er blevet kontrolleret.

Det amerikanske justitsministerium, Mandiant og Microsoft snublede over SolarWinds-hackingen seks måneder tidligere end tidligere rapporteret. Det skriver WIRED, men var uvidende om betydningen af, hvad de havde fundet.

Overtrædelsen, der blev offentliggjort i december 2020, involverede russiske hackere, der kompromitterede softwareproducenten SolarWinds. Hackerne indsatte herefter en bagdør i software, der blev serveret til omkring 18,000 af sine kunder. Denne malware inficerede software fortsatte således med at inficere mindst ni amerikanske føderale agenturer, blandt dem Department of Justice (DOJ), Department of Defense, Department of Homeland Security og Treasury Department samt topteknologi- og sikkerhedsfirmaer, herunder Microsoft, Mandiant, Intel, Cisco og Palo Alto Networks. Hackerne havde været i disse forskellige netværk i mellem fire og ni måneder, før kampagnen blev afsløret af Mandiant. 

Også Microsoft blev hacket og hackerne fik adgang til kildekoder til Microsoft software

Russerne fik også adgang til kildekoder til Microsoft software og mange tusinde servere og arbejdsstationer.

Men WIRED skriver nu, at de bekræfter, at operationen faktisk blev opdaget af DOJ seks måneder tidligere, i slutningen af maj 2020 – men omfanget og betydningen af overtrædelsen var ikke umiddelbart tydelig.

Mistanker blev udløst, da afdelingen opdagede usædvanlig trafik, der stammer fra en af sine servere, der kørte en prøveversion af Orion-softwarepakken lavet af SolarWinds, ifølge kilder, der er bekendt med hændelsen. Softwaren, der blev brugt af systemadministratorer til at administrere og konfigurere netværk, kommunikerede eksternt med et ukendt system på internettet. DOJ bad sikkerhedsfirmaet Mandiant om at hjælpe med at afgøre, om serveren var blevet hacket. Det engagerede også Microsoft, selvom det ikke er klart, hvorfor softwareproducenten også blev bragt ind i undersøgelsen.

Bagdøre der installeres af stater til overvågning er som regel til ændrede historier

Det vides ikke, hvilken afdeling af DOJ der oplevede overtrædelsen, men repræsentanter fra Justice Management Division og US Trustee Program deltog i diskussioner om hændelsen. Kuratorprogrammet fører tilsyn med administrationen af konkurssager og private kuratorer. Ledelsesafdelingen rådgiver DOJ-ledere om budget- og personaleledelse, etik, indkøb og sikkerhed.

Efterforskere mistænkte, at hackerne havde brudt DOJ-serveren direkte, muligvis ved at udnytte en sårbarhed i Orion-softwaren. De nåede ud til SolarWinds for at hjælpe med undersøgelsen, men virksomhedens ingeniører kunne ikke finde en sårbarhed i deres kode. I juli 2020, da mysteriet stadig var uløst, stoppede kommunikationen mellem efterforskere og SolarWinds. En måned senere købte DOJ Orion-systemet, hvilket tyder på, at afdelingen var overbevist om, at der ikke var nogen yderligere trussel fra Orion-pakken, siger kilderne.

Ingen kommentater fra Microsoft, Mandiant eller Solarwinds

En talsmand for det amerikanske justitsministerium bekræftede, at hændelsen og efterforskningen fandt sted, men ville ikke give nogen detaljer om, hvad efterforskerne konkluderede. “Mens hændelsesresponsen og afbødningsindsatsen blev afsluttet, forblev FBI’s kriminelle efterforskning åben hele vejen igennem,” skrev talsmanden i en e-mail. WIRED bekræftede med kilder, at Mandiant, Microsoft og SolarWinds var involveret i diskussioner om hændelsen og undersøgelsen. Alle tre virksomheder afviste at drøfte sagen.

DOJ fortalte Wired, at det underrettede US Cybersecurity and Infrastructure Agency (CISA) om overtrædelsen på det tidspunkt, hvor den opstod – selvom en talsmand for US National Security Agency udtrykte frustration over, at agenturet ikke også blev underrettet. Men i december 2020, da offentligheden lærte, at en række føderale agenturer blev kompromitteret i SolarWinds-kampagnen – DOJ blandt dem – afslørede hverken DOJ eller CISA for offentligheden, at operationen ubevidst var blevet fundet måneder tidligere. DOJ sagde oprindeligt, at dets informationschef havde opdaget overtrædelsen den 24. december.

I november 2020, måneder efter at DOJ afsluttede afbødningen af sit brud, opdagede Mandiant, at det var blevet hacket, og sporede sit brud til Orion-softwaren på en af sine servere den følgende måned.

Bagdør som spionsoftware, blev ændret i kildekoden der så blev udgivet til 18.000 kunder

En undersøgelse af softwaren afslørede, at den indeholdt en bagdør, som hackerne havde indlejret i Orion-softwaren, mens den blev kompileret af SolarWinds i februar 2020. Den plettede software gik ud til omkring 18,000 SolarWinds-kunder, der downloadede den mellem marts og juni, lige omkring det tidspunkt, hvor DOJ opdagede den unormale trafik, der forlod sin Orion-server.

Hackerne valgte dog kun en lille delmængde af disse til at målrette mod deres spionageoperation. De gravede sig længere ned i de inficerede føderale agenturer og omkring 100 andre organisationer, herunder teknologivirksomheder, offentlige myndigheder, forsvarsentreprenører og tænketanke.

Mandiant selv blev inficeret med Orion-softwaren den 28. juli 2020, fortalte virksomheden WIRED, hvilket ville være faldet sammen med den periode, hvor virksomheden hjalp DOJ med at undersøge sit brud.

Da han blev spurgt, hvorfor, da virksomheden annoncerede forsyningskædehacket i december, afslørede det ikke, at det havde sporet en hændelse relateret til SolarWinds-kampagnen i et regeringsnetværk måneder tidligere, bemærkede en talsmand kun, at “da vi blev børsnoteret, havde vi identificeret andre kompromitterede kunder.”

Hændelsen understreger vigtigheden af informationsdeling mellem agenturer og industri, noget Biden-administrationen har understreget. Selvom DOJ havde underrettet CISA, fortalte en talsmand for National Security Agency til Wired, at det ikke lærte om det tidlige DOJ-brud før januar 2021, da oplysningerne blev delt i et opkald blandt ansatte i flere føderale agenturer.

Det var samme måned, som DOJ – hvis mere end 100.000 ansatte spænder over flere agenturer, herunder FBI, Drug Enforcement Agency og US Marshals Service – offentligt afslørede, at hackerne bag SolarWinds-kampagnen muligvis havde fået adgang til omkring 3 procent af sine Office 365-postkasser. Der er modstridende rapporter om, hvorvidt dette angreb var en del af SolarWinds-kampagnen eller udført af de samme aktører. Seks måneder senere udvidede afdelingen dette  og meddelte, at hackerne havde formået at bryde e-mail-konti for medarbejdere på 27 amerikanske advokatkontorer, inklusive dem i Californien, New York og Washington, DC.

I sin sidstnævnte erklæring sagde DOJ, at for at “tilskynde til gennemsigtighed og styrke hjemlandets modstandsdygtighed,” ønskede det at give nye detaljer, herunder at hackerne menes at have haft adgang til kompromitterede konti fra omkring 7. maj til 27. december 2020. Og de kompromitterede data omfattede “alle sendte, modtagne og gemte e-mails og vedhæftede filer, der blev fundet på disse konti i løbet af den tid.”

Efterforskerne af DOJ-hændelsen var ikke de eneste, der snuble over tidlige beviser for overtrædelsen. Omkring samme tid som afdelingens undersøgelse undersøgte sikkerhedsfirmaet Volexity, som virksomheden tidligere rapporterede, også et brud på en amerikansk tænketank og sporede det til organisationens Orion-server. Senere i september opdagede sikkerhedsfirmaet Palo Alto Networks også unormal aktivitet i forbindelse med sin Orion-server. Volexity mistænkte, at der kunne være en bagdør på kundens server, men afsluttede undersøgelsen uden at finde en. Palo Alto Networks kontaktede SolarWinds, som DOJ havde, men også i dette tilfælde undlod de at lokalisere problemet.

Senator Ron Wyden, en demokrat fra Oregon, der har været kritisk over for regeringens manglende evne til at forhindre og opdage kampagnen i dens tidlige stadier, siger, at afsløringen illustrerer behovet for en undersøgelse af, hvordan den amerikanske regering reagerede på angrebene og gik glip af muligheder for at stoppe den.

“Ruslands SolarWinds-hackingkampagne var kun vellykket på grund af en række kaskadefejl fra den amerikanske regering og dens industripartnere,” skrev han i en e-mail. “Jeg har ikke set noget bevis for, at den udøvende magt grundigt har undersøgt og adresseret disse fejl. Den føderale regering har et presserende behov for at komme til bunds i, hvad der gik galt, så bagdøre i anden software, der bruges af regeringen, i fremtiden straks opdages og neutraliseres.

Hvem er SolarWinds?

SolarWinds er en førende udbyder af software til styring af it-infrastruktur og tilbyder løsninger til overvågning, styring og sikring af netværk, systemer, applikationer og databaser. Virksomheden har hovedkvarter i Austin, Texas, USA, og har adskillige kontorer rundt om i verden. SolarWinds beskæftiger omkring 3.300 medarbejdere globalt (pr. 2021). Her er en tabel over nogle af deres hovedprodukter:

ProduktBeskrivelse
Network Performance Monitor (NPM)Overvåger og analyserer netværksydelse og tilgængelighed
Server & Application Monitor (SAM)Overvåger og styrer servere og applikationer, både lokale og i skyen
Database Performance Analyzer (DPA)Overvåger og analyserer databasydelse for SQL, Oracle, DB2 og andre databaser
NetFlow Traffic Analyzer (NTA)Overvåger og analyserer båndbreddeforbrug og netværkstrafik
Log & Event Manager (LEM)Centraliserer og korrelerer log- og hændelsesdata for sikkerhed og overholdelse
Web Performance Monitor (WPM)Overvåger og optimerer webapplikationers ydelse og tilgængelighed
Access Rights Manager (ARM)Styrer og overvåger brugeradgangsrettigheder og aktiviteter
Security Event Manager (SEM)Overvåger, analyserer og reagerer på sikkerhedshændelser og -trusler

Læs mere om Solarwinds: https://icare.dk/?s=solarwind

Kilde: Wired og iCare Security A/S.
Fotokredit: Solarwinds

Cybersikkerhed & Nyheder