Расследование NPR атаки SolarWinds выявило непохожий на любой другой взлом, совершенный изощренным злоумышленником, стремящимся использовать уязвимые места нашей цифровой жизни.

«Этот выпуск включает исправления ошибок, повышенную стабильность и улучшения производительности ».

Регулярное обновление программного обеспечения может быть одной из самых привычных и наименее понятных частей нашей цифровой жизни. Всплывающее окно объявляет о его прибытии, и все, что от нас требуется, это подключить все перед сном. На следующее утро наше программное обеспечение, подобно сапожнику и эльфам, волшебным образом преобразуется.

Прошлой весной компания SolarWinds из Техаса сделала одно такое обновление программного обеспечения доступным для своих клиентов. Предполагалось, что он будет предоставлять регулярные услуги — исправление ошибок, повышение производительности — популярной системе управления сетью компании, программе под названием Orion, которая внимательно следит за всеми различными компонентами в сети компании. Клиентам просто нужно было войти на веб-сайт компании по разработке программного обеспечения, ввести пароль и затем дождаться, пока обновление без проблем загрузится на их серверы.

Оказывается, рутинное обновление перестало быть рутинным.

Хакеры, которых предположительно руководила российская разведывательная служба, СВР, использовали это обычное обновление программного обеспечения, чтобы вставить вредоносный код в программное обеспечение Ориона, а затем использовали его в качестве средства массовой кибератаки против Америки.

«Восемнадцать тысяч [клиентов] — это наша лучшая оценка того, кто мог загрузить код в период с марта по июнь 2020 года», — сказал NPR Судхакар Рамакришна, президент и главный исполнительный директор SolarWinds.«Если вы затем возьмете 18 000 и начнете анализировать их, фактическое количество затронутых клиентов будет намного меньше. Мы не знаем точных цифр. Мы все еще проводим расследование».

В четверг администрация Байдена объявила список жестких санкций против России в рамках того, что она охарактеризовала как «видимый и невидимый» ответ на нарушение правил SolarWinds.

Проведенное NPR в течение нескольких месяцев исследование этой знаменательной атаки — на основе интервью с десятками игроков, от должностных лиц компании до жертв и экспертов по кибернетической экспертизе, проводивших расследование, и сотрудников разведки, которые находятся в процессе калибровки реакции администрации Байдена, — свидетельствует о взломе, в отличие от любой другой, запущенный изощренным противником, нацелившимся на слабое место цифровой жизни: обычное обновление программного обеспечения.

По задумке, хакерская программа работала только при очень определенных обстоятельствах. Его жертвы должны были загрузить испорченное обновление, а затем фактически развернуть его. Это было первое условие. Во-вторых, их скомпрометированные сети должны быть подключены к Интернету, чтобы хакеры могли связываться с их серверами.

По этой причине, по подсчетам Рамакришны, русские успешно скомпрометировали около 100 компаний и около десятка государственных учреждений. В число компаний входили Microsoft, Intel и Cisco; список федеральных агентств пока включает министерства финансов, юстиции и энергетики, а также Пентагон.

Генеральный директор и президент SolarWinds Судхакар Рамакришна унаследовал атаку. Он был нанят незадолго до того, как была обнаружена брешь, и приступил к работе, как только стало ясно, в каком объеме взломан. Деметриус Фриман / Пул / AFP через Getty Images скрыть подпись

Генеральный директор и президент SolarWinds Судхакар Рамакришна унаследовал атаку.Он был нанят незадолго до того, как была обнаружена брешь, и приступил к работе, как только стало ясно, в каком объеме взломан.

Хакеры также проникли, что довольно неприятно, в Агентство по кибербезопасности и безопасности инфраструктуры, или CISA — офис Министерства внутренней безопасности, чья работа заключается в защите федеральных компьютерных сетей от кибератак.

Проблема заключается в том, что тот же доступ, который дает россиянам возможность украсть данные, может также позволить им изменить или уничтожить их. «Скорость, с которой актер может перейти от шпионажа к деградации или разрушению сети, — в мгновение ока», — заявила одна высокопоставленная администрация на брифинге в Белом доме в четверг. «И защитник не может двигаться с такой скоростью. И, учитывая историю злонамеренных действий России в киберпространстве и их безрассудного поведения в киберпространстве, это было ключевой проблемой.»

» Торговля была феноменальной «

Программное обеспечение для мониторинга сети — ключевая часть скрытых операций, которые мы никогда не наблюдаем. Такие программы, как Orion, позволяют отделам информационных технологий смотреть на один экран и проверять всю свою сеть: серверы или брандмауэры, или принтер на пятом этаже, который постоянно отключается. По своей природе он затрагивает все, поэтому взломать его было гениально.

«Это действительно ваш худший кошмар», — сказал Тим Браун, вице-президент по безопасности SolarWinds. в последнее время.«Вы чувствуете своего рода ужас. Это могло затронуть тысячи клиентов; это могло нанести большой вред».

Когда эксперты по кибербезопасности говорят о вреде, они думают о чем-то вроде того, что произошло в 2017 году, когда российские военные начали атаку с использованием программ-вымогателей, известную как NotPetya. Это тоже началось с испорченного программного обеспечения, но в этом случае хакеры были нацелены на уничтожение. Они установили программы-вымогатели, которые парализовали транснациональные компании и навсегда заблокировали доступ людей по всему миру к десяткам тысяч компьютеров.Даже намного позже, это считается самой разрушительной и дорогостоящей кибератакой в ​​истории.

Представители разведки опасаются, что SolarWinds может предвещать нечто подобное. Конечно, хакеры успели нанести ущерб. Они бродили по американским компьютерным сетям в течение девяти месяцев, и неясно, просто ли они читали электронные письма и делали то, что обычно делают шпионы, или они придумывали что-то более разрушительное для использования в будущем.

«Когда страны осуществляют кибершпионаж, FireEye входит в список целей», — сказал NPR Кевин Мандиа, генеральный директор компании FireEye, занимающейся кибербезопасностью, но он считает, что есть и другие менее очевидные цели, которые теперь могут нуждаться в большей защите.«Я думаю, что коммунальные предприятия могут быть в этом списке. Я думаю, что здравоохранение может быть в этом списке. И вы не обязательно хотите быть в списке честной игры для наиболее способного нападения, которое нацелено на вас».

Кевин Мандиа, генеральный директор компании FireEye, занимающейся кибербезопасностью, сказал, что русские не просто атакуют SolarWinds, они нацелены на доверие. Деметриус Фриман / Пул / Getty Images скрыть подпись

Кевин Мандиа, генеральный директор компании FireEye, занимающейся кибербезопасностью, сказал, что русские не просто атаковали SolarWinds, они нацелились на доверие.

Злоумышленники SolarWinds провели мастер-класс по новым методам взлома. Они модифицировали запечатанный программный код, создали систему, которая использовала доменные имена для выбора целей и имитировала протоколы связи программного обеспечения Orion, чтобы они могли прятаться у всех на виду. А затем они сделали то, что сделал бы любой хороший оперативник: они очистили место преступления так тщательно, что следователи не могут окончательно доказать, кто за этим стоит.Белый дом недвусмысленно заявил, что за взломом стояла российская разведка. Россия, со своей стороны, отрицает свою причастность.

«Торговля была феноменальной», — сказал Адам Мейерс, возглавлявший группу кибер-криминалистов, которая просматривала это испорченное обновление от имени SolarWinds, впервые предоставив подробности о том, что они обнаружили. Он сказал, что код был элегантным и новаторским, а затем добавил: «Это была самая безумная вещь, которую я когда-либо видел».

Как лезвия бритвы в чашках с арахисовым маслом

Мейерс — вице-президент по анализу угроз в компании CrowdStrike, занимающейся кибербезопасностью, и он близко видел эпические атаки.Он работал над взломом Sony в 2014 году, когда Северная Корея взломала серверы компании и выпустила электронные письма и первые показы фильмов. Год спустя он был на передовой, когда подозреваемая при поддержке Кремля хакерская команда, известная как «Уютный медведь», украла, среди прочего, массу писем от Национального комитета Демократической партии. Затем WikiLeaks опубликовал их в преддверии выборов 2016 года.

«Мы ежедневно участвуем в самых разных инцидентах по всему миру», — сказал Мейерс. Обычно он руководит командами, а не руководит ими.Но SolarWinds была другой: «Когда меня начали информировать, я понял, что [это] на самом деле было большим делом».

Атака началась с крошечной полоски кода. Мейерс проследил это до 12 сентября 2019 года. «Этот небольшой фрагмент кода ничего не делает, — сказал Мейерс. «Это буквально просто проверка того, какой процессор работает на компьютере, 32- или 64-разрядный процессор, и если это тот или иной, он возвращает либо ноль, либо единицу».

Оказывается, этот фрагмент кода был подтверждением концепции — небольшой пробный шарик, чтобы увидеть, можно ли изменить подписанный и запечатанный программный код SolarWinds, опубликовать его, а затем увидеть в загруженной версии.И они поняли, что могут. «Итак, на данный момент они знают, что могут осуществить атаку на цепочку поставок», — сказал Мейерс. «Они знают, что у них есть такая возможность».

После этого первого успеха хакеры исчезли на пять месяцев. По словам Мейерса, когда они вернулись в феврале 2020 года, они пришли с удивительным новым имплантатом, который обеспечивал бэкдор, который входил в само программное обеспечение до того, как оно было опубликовано.

Чтобы понять, чем это было замечательно, вам нужно знать, что готовый программный код имеет своего рода цифровую заводскую печать.Если вы сломаете эту печать, кто-нибудь сможет увидеть это и узнать, что код мог быть подделан. Мейерс сказал, что хакеры, по сути, нашли способ проникнуть под эту заводскую печать.

Они начали с внедрения кода, который сообщал им каждый раз, когда кто-то из команды разработчиков SolarWinds готовился к созданию нового программного обеспечения. Они понимали, что процесс создания программного обеспечения или обновления обычно начинается с чего-то рутинного, такого как проверка кода из цифрового репозитория, что-то вроде проверки книги из библиотеки.

При нормальных обстоятельствах разработчики берут код из репозитория, вносят изменения и затем возвращают его обратно. Закончив возиться, они инициируют процесс, называемый процессом сборки, который, по сути, переводит код, который может прочитать человек, в код компьютер делает. На этом этапе код чист и протестирован. То, что хакеры сделали после этого, было уловкой.

Они создавали временный файл обновления с вредоносным кодом внутри во время компиляции кода SolarWinds.Вредоносный код хакеров приказал машине подкачать временный файл вместо версии SolarWinds. «Я думаю, что многие люди, вероятно, предполагают, что был изменен исходный код», — сказал Мейерс, но вместо этого хакеры использовали своего рода приманку и подмену.

Адам Мейерс, вице-президент CrowdStrike по анализу угроз, сказал, что когда он познакомился с атакой SolarWinds, он понял, что это большое дело. Студия Оскара Загала скрыть подпись

Адам Мейерс, вице-президент CrowdStrike по анализу угроз, сказал, что когда он познакомился с атакой SolarWinds, он понял, что это большое дело.

Но это, по словам Мейерса, тоже было интересно. Хакеры понимали, что такие компании, как SolarWinds, обычно проверяют код перед тем, как приступить к созданию обновления, просто чтобы убедиться, что все в порядке. Поэтому они позаботились о том, чтобы переключение на временный файл произошло в последнюю возможную секунду, когда обновления перешли от исходного кода (читаемый людьми) к исполняемому коду (который считывает компьютер) к программному обеспечению, которое отправляется клиентам.

Техника напомнила Мейерсу старые страхи, связанные с угощением или обманом. На протяжении десятилетий существовал городской миф о том, что дети не могут есть конфеты на Хеллоуин, пока не проверит печать на обертке, потому что плохие люди могли вставить внутрь лезвия. По словам Мейерса, хакеры сделали с кодом примерно то же самое.

«Представьте, что эти чашки с арахисовым маслом Reese входят в упаковку, и как раз перед тем, как машина отключается и запечатывает упаковку, входит какая-то другая вещь и вставляет лезвие бритвы в вашу чашку с арахисовым маслом Reese», — сказал он.Вместо лезвия бритвы хакеры обменивались файлами, так что «пакет запечатывается и отправляется в магазин».

Обновление, которое было отправлено клиентам SolarWinds, представляло собой опасную чашку с арахисовым маслом — вредоносная версия программного обеспечения включала код, который давал хакерам неограниченный, необнаруженный доступ к любому пользователю Orion, который загрузил и развернул обновление и был подключен к Интернет.

Но в этом коде было кое-что еще, что беспокоило Мейерса: это было не только для SolarWinds.«Когда мы посмотрели на [это], его можно было перенастроить для любого количества программных продуктов», — сказал Мейерс. Другими словами, он сказал, что любое количество других разработчиков программного обеспечения, использующих тот же компилятор, также может стать объектом кибератаки, но они просто еще не знают об этом.

Сбор и выбор целей

Мейерс сказал, что трудно не восхищаться тем, как много хакеры вложили в эту операцию. Подумайте, как они определили цели. Обратной стороной одновременного взлома стольких клиентских сетей является то, что трудно решить, что использовать в первую очередь.Таким образом, хакеры создали пассивную систему серверов доменных имен, которая отправляла небольшие сообщения не только с IP-адресом, который представляет собой просто серию чисел, но и с эскизным профилем потенциальной цели.

«Чтобы они могли тогда сказать:« Хорошо, мы будем преследовать эту цель правительства или что-то в этом роде », — сказал Мейерс. «Думаю, позже стало ясно, что мишенью стали многие государственные технологические компании».

Хакеры также перепроектировали способ взаимодействия Orion с серверами и создали свои собственные инструкции кодирования, имитирующие синтаксис и форматы Orion.Это позволило хакерам выглядеть так, как будто они «разговаривают» с Орионом, поэтому их трафик сообщений выглядел как естественное расширение программного обеспечения.

«Итак, как только они определили, что цель представляет интерес, они могли сказать:« Хорошо, давайте активизируемся, давайте манипулируем файлами, давайте что-то изменим »», — сказал Мейерс, и затем они незаметно проскользнули через бэкдор, который у них был. созданный. «И есть еще одна вещь, о которой я должен упомянуть: этот бэкдор будет ждать до двух недель, прежде чем он действительно станет активным на хосте.Это был очень терпеливый противник ».

Ни одна из цепей, установленных частными компаниями или правительством, похоже, не предвидела приближения атаки. Кристофер Кребс, который отвечал за офис, который защищал правительственные сети в DHS во время Администрация Трампа сообщила NPR, что нынешняя система DHS, известная (без иронии) как Эйнштейн, улавливает только известные угрозы. Взлом SolarWinds, по его словам, был просто «слишком новым».

Кристофер Кребс, отвечавший за защиту правительственных сетей при администрации Трампа, сказал, что взлом SolarWinds использовал методы, которые были «слишком новы» для нынешней системы. Дрю Ангерер / Getty Images скрыть подпись

Кристофер Кребс, отвечавший за защиту правительственных сетей во время администрации Трампа, сказал, что взлом SolarWinds использовал методы, которые были «слишком новы» для нынешней системы.

«От 90 [%] до 95% угроз основаны на известных методах, известной киберактивности», — пояснил Кребс. «И это не только преступники, но и государственные деятели, в том числе российские спецслужбы и российские вооруженные силы. Это была ранее неопознанная техника».

Есть еще кое-что, чего Эйнштейн не делает: он не проверяет обновления программного обеспечения. Таким образом, даже если бы хакеры использовали код, который Эйнштейн признал бы плохим, система, возможно, не увидела бы его, потому что он был доставлен в одном из тех рутинных обновлений программного обеспечения.

Агентство национальной безопасности и киберкомандование вооруженных сил США также были застигнуты врасплох. Вообще говоря, их кибероператоры сидят в зарубежных сетях и ищут признаки кибератак до того, как они произойдут. Они могут видеть подозрительную активность почти так же, как спутник может видеть скопление войск на границе. Критики заявили, что они должны были видеть, как хакеры из российской разведки, СВР, готовили эту атаку.

«SVR прекрасно понимает, что АНБ внимательно следит за ситуацией», — сказал Кребс.«Что удалось SVR, так это осуществить переход от того, откуда они работали, в сети США. Они движутся как призраки. Их очень трудно отследить».

Чиновники подтвердили, что хакеры не сделали ничего особенного, чтобы оставить свой след в стране. Фактически они просто арендовали серверы у Amazon и GoDaddy.

Ранние предупреждения

Однако в других местах были некоторые признаки того, что что-то не так.

В начале июля Стивен Адэр, основатель Вашингтонского общества Д.Компания по кибербезопасности Volexity, базирующаяся на C., обнаружила подозрительную активность на компьютерах клиентов. «Мы отследили это и подумали, что это может быть связано с плохим обновлением SolarWinds», — сказал Адэр NPR. «Мы решили проблему, убедились, что в системах наших клиентов никого нет, и на этом остановились».

Адаир сказал, что, по его мнению, у него недостаточно подробностей, чтобы сообщить о проблеме SolarWinds или правительству США. «Мы думали, что у нас недостаточно доказательств, чтобы протянуть руку помощи», — сказал он.

Это был первый пропущенный знак.

Второе произошло три месяца спустя, когда калифорнийская компания по кибербезопасности Palo Alto Networks обнаружила вредоносный бэкдор, который, похоже, исходил от программного обеспечения Orion.

Они движутся как призраки. Их очень сложно отследить.

Кристофер Кребс, бывший директор Агентства по кибербезопасности и безопасности инфраструктуры

В этом случае, по словам Рамакришны из SolarWinds, группы безопасности SolarWinds и Пало-Альто работали вместе в течение трех месяцев, пытаясь понять суть проблемы и решить ее.«Никто из нас не мог точно определить атаку на цепочку поставок в тот момент», — сказал Рамакришна NPR. «В результате этого билет был закрыт. Если бы мы имели преимущество задним числом, мы могли бы отследить его» до взлома.

Palo Alto Networks согласилась поговорить с NPR об инциденте в прошлом месяце, а затем отменила интервью всего за час до того, как оно должно было состояться. Представитель отказался сообщить причину и отправил несколько сообщений в блог, в которых написал: «Боюсь, это все, что мы можем помочь в настоящее время.»

» Всего 3500 строк «

В конечном итоге вторжение обнаружила фирма по кибербезопасности FireEye. Мандиа, генеральный директор компании, раньше работал в Управлении специальных расследований ВВС США, поэтому его специальностью были уголовные дела За прошедшие годы в его работе по кибербезопасности продолжали появляться шаблоны, которые он научился распознавать в ходе специальных расследований.

Первое указание на то, что хакеры проникли в сети FireEye, появилось безобидным образом.Кто-то из службы безопасности FireEye заметил, что у сотрудника, похоже, было зарегистрировано два телефона в его сети, поэтому она позвонила ему. «И этот телефонный звонок — это когда мы поняли, эй, это не наш сотрудник регистрирует второй телефон, это был кто-то другой», — сказала Мандия.

Через некоторое время Мандиа прошел инструктаж по безопасности, и все, что он слышал, напомнило ему о его предыдущей работе в армии. «От меня было много распознавания образов», — сказал он NPR. «Я провел с 1996 по 1998 год, отвечая на вопросы, которые я бы приравнял к Службе внешней разведки России, и в первом брифинге были некоторые показатели, которые соответствовали моему опыту в ВВС.«

Он созвал собрание совета директоров в тот же день.« Это просто было похоже на нарушение, о котором я всегда беспокоился ».

В течение нескольких недель его команда обнаружила, что в его сети не только был злоумышленник. , но кто-то украл арсенал хакерских инструментов, которые FireEye использует для проверки безопасности сетей своих клиентов. FireEye позвонила в ФБР, составила подробный отчет, и, как только выяснилось, что программное обеспечение Orion является источником проблемы, оно называется SolarWinds.

Браун, вице-президент по безопасности SolarWinds, ответил на телефонный звонок в субботу утром. «Он сказал:« По сути, мы декомпилировали ваш код. Мы обнаружили вредоносный код », — сказал Браун. FireEye была уверена, что SolarWinds «отправила испорченный код».

Испорченный код позволил хакерам проникнуть в сеть FireEye, и наверняка были скомпрометированы и другие. «Мы слышали, что разные репортеры уже получили сенсацию», — сказала Мандиа. «Мой телефон действительно зазвонил от репортера, и этот человек знал, и я сказал:« Хорошо, мы участвуем в гонке ».«

Мандиа думала, что у них есть примерно день до того, как эта история станет известна.

После этого события, казалось, ускорились. Начальник службы безопасности SolarWinds, Браун, позвонил Рону Плеско, юристу фирмы DLA Piper, и сказал ему что произошло. После кибератак компании в первую очередь нанимают юристов, которые возлагают на них обязанности по расследованию. Они делают это по определенной причине — это означает, что все, что они находят, защищено адвокатской тайной и обычно не обнаруживается в суде.

Рон Плеско, юрист фирмы DLA Piper, сделал киберпреступления специальностью своей практики. «Я бывал в ситуациях, когда, пока вы проводите расследование, [хакеры] просматривают вашу электронную почту, компрометируют ваши телефонные звонки или зумы», — сказал он. Кристон Джей Бетел для NPR скрыть подпись

Рон Плеско, юрист фирмы DLA Piper, сделал киберпреступления специальностью своей практики.«Я бывал в ситуациях, когда, пока вы проводите расследование, [хакеры] просматривают вашу электронную почту, компрометируют ваши телефонные звонки или зумы», — сказал он.

Плеско, который сделал киберпреступления специальностью своей практики, знал, что, как только эта история разоблачается, она будет говорить «миру: готовься, готовься, вперед, приди за ним», — сказал Плеско. «Таким образом, это дает вам возможность ускориться по двум направлениям: выяснить, что произошло, если вы можете, и как можно скорее исправить ситуацию.»

Компания работала с DHS над составлением заявления, которое было опубликовано 13 декабря.

Чтобы расследовать взлом, вы должны обезопасить цифровое место преступления. Точно так же, как детективы в физическом мире должны собирать улики и пыль. для распечаток для последующего расследования SolarWinds пришлось собрать компьютерные журналы, сделать копии файлов, обеспечить наличие записанной цепочки хранения, при этом пытаясь гарантировать, что хакеры не находятся внутри ее системы, наблюдая за всем, что они делают.

» Я бывал в ситуациях, когда, пока вы проводите расследование, они просматривают вашу электронную почту, компрометируют ваши телефонные звонки или зум », — сказал Плеско.«Так что они буквально подслушивают, как вы собираетесь от них избавиться».

К середине января Майерс и команда CrowdStrike выделили то, что, по их мнению, было крошечным бьющимся сердцем атаки. По его словам, это был элегантный зашифрованный маленький кусок кода «всего в 3500 строк». Лучший код — короткий и по существу, как хорошо написанное предложение. Мейерс подумал, что эта маленькая зашифрованная полоска может помочь им выяснить, кто стоит за атакой.

Маленькие капли подсказок

Думайте о кибер-группах судебных экспертов как о цифровых детективах, ищущих закономерности.Иногда тики кодирования могут помочь выявить преступников, а иногда бригады судебно-медицинских экспертов находят небольшие культурные артефакты, такие как персидская письменность или корейский хангыль. Когда элитная российская хакерская команда захватила электросеть в Украине в 2015 году, у нее было больше литературных устремлений: она засыпала свой вредоносный код ссылками на романы Фрэнка Герберта Dune . Вот почему CrowdStrike нашел эту маленькую каплю вредоносного кода такой интригующей.

Плеско показывает хронологию взлома SolarWinds на своем компьютере. Кристон Джей Бетел для NPR скрыть подпись

Плеско показывает временную шкалу взлома SolarWinds на своем компьютере.

После нескольких недель работы с кодом Мейерс созвал телефонную конференцию Zoom с руководителями SolarWinds и членами своей команды со всего мира.Он поделился своим экраном, чтобы все могли в реальном времени наблюдать, как исчезает шифрование. Он начал проводить зрителей через код по мере его раскрытия, как анализ игры по ходу игры. Мейерс продолжал следить за большим открытием. «Мы надеемся, что у него будут, знаете ли, имена переменных или, может быть, какие-то комментарии на кириллице или мандаринском диалекте, чтобы мы могли понять, кто это написал», — сказал он.

Но когда программа дешифрования CrowdStrike прочесала нули и единицы, сердце Мейерса упало.На месте преступления оказался бюст. Это было стерто. «Они отмыли код», — сказал Мейерс. «Они очистили его от любых человеческих артефактов или следов инструментов. И это было потрясающе, потому что [у них] было достаточно средств, чтобы скрыть все, что человек мог непреднамеренно оставить в качестве ключа к разгадке».

Черт побери, подумал он про себя, кто это делает?

Просто введите «solarwinds123»

Несмотря на такой изощренный взлом, легко предположить, что это могло произойти практически с любой компанией-разработчиком программного обеспечения.Но у SolarWinds были некоторые тревожные признаки, которые могли сделать его мишенью.

Рассмотрим его веб-сайт онлайн-маркетинга. Он содержал список клиентов, включая конкретные компании и государственные учреждения, которые использовали его программное обеспечение Orion. Хотя многие компании так поступают, сайт SolarWinds был очень специфическим. Это было, как сказали NPR два аналитика по кибербезопасности, как список покупок для злоумышленников.

Рамакришна отбросил критику. «Многие компании делают это. Это их знак чести, когда они говорят, что все эти клиенты полагаются на мои технологии», — сказал он.«Я бы не сказал, что это было причиной того, почему мы стали мишенью». Рамакришна сказал, что хакеры были «намного более изощренными», чем это. Однако вскоре после атаки эта конкретная страница на маркетинговом веб-сайте была закрыта.

Был еще один тревожный отчет о паролях. Исследователь безопасности из Бангалора, Индия, по имени Винот Кумар сказал NPR, что он нашел пароль к серверу с приложениями и инструментами SolarWinds на общедоступной доске сообщений, и пароль был: «solarwinds123».«Кумар сказал, что отправил сообщение в SolarWinds в ноябре и получил автоматический ответ, в котором благодарил его за помощь и сообщал, что проблема была устранена.

Когда NPR спросило об этом вице-президента SolarWinds по безопасности Брауна, он сказал, что пароль «не имел никакого отношения к этому событию, это был пароль к FTP-сайту.» FTP-сайт — это то, что вы используете для передачи файлов через Интернет. Он сказал, что пароль был предоставлен стажерам, и это было » не учетная запись, которая была связана с нашим активным каталогом.«

Рамакришна сказал, что это пароль для стороннего сайта, на котором были доступны для загрузки некоторые инструменты и приложения SolarWinds. Рамакришна признал, однако, что, хотя этот вопрос не был связан с взломом, это было проблемой. своего рода пароль на сайте, который содержал что-то, что кто-то мог загрузить, решив, что это продукт SolarWinds.

Злоумышленники SolarWinds были мастерами новых хакерских приемов.Белый дом заявил, что за взломом стояла российская разведка. Россия отрицает свою причастность. Бронте Виттпенн / Блумберг через Getty Images скрыть подпись

Злоумышленники SolarWinds были мастерами в новых хакерских техниках.Белый дом заявил, что за взломом стояла российская разведка. Россия отрицает свою причастность.

«Мы использовали это как еще одну возможность заново обучить всех правилам паролей», — сказал он. «Я не хочу преуменьшать это или относиться к этому небрежно, но я хочу подчеркнуть, что это не имело никакого отношения» к атаке на Орион.

Рамакришна унаследовал это нападение.Он был нанят на должность генерального директора SolarWinds незадолго до того, как была обнаружена брешь, и занял высшую должность, как только стало ясно, в каком объеме взломали его в полной мере. В каком-то смысле это дало ему невероятную свободу. Его нельзя винить в том, что произошло до того, как он туда попал, и изменения, которые он вносит, можно увидеть в контексте нового ответственного человека, а не в ответ на нападение.

Вскоре по прибытии он опубликовал в блоге длинную запись, в которой содержался, по сути, план из 11 пунктов по повышению безопасности компании.«Вооружившись тем, что мы узнали об этой атаке, мы также размышляем над нашими собственными методами обеспечения безопасности», — написал он в сообщении в блоге, добавив, что его целью было «немедленное улучшение критически важных систем бизнеса и разработки продуктов». »

Рамакришна сказал, что планирует превратить SolarWinds в действительно «безопасную по замыслу» организацию с более надежными средствами защиты и обнаружения угроз в своей сети, с особым акцентом на том, где она разрабатывала и создавала программное обеспечение — места, которые хакеры SVR использовали для взломать.

Он сказал, что создаст привилегированные учетные записи и все учетные записи, используемые кем-либо, кто имеет какое-либо отношение к Orion, и компания будет применять многофакторную аутентификацию, или MFA, по всем направлениям.

«Если я предложу план из 11 пунктов по повышению безопасности моей компании, одна из интерпретаций этого может заключаться в том, что мы извлекли ценный урок из того, что было взломано», — сказал Ян Торнтон-Трамп, директор по информационной безопасности компании Cyjax, компания по разведке угроз.«Другая интерпретация могла бы заключаться в том, что было по крайней мере 11 существенных недостатков в нашей фактической безопасности. Я вижу, что план из 11 пунктов на самом деле является признанием того, что в этом доме безопасности не все было хорошо».

Торнтон-Трамп раньше работал в SolarWinds и входил в группу безопасности. Торнтон-Трамп покинул компанию в 2017 году, потому что, по его собственным словам, руководство SolarWinds (в ​​то время генеральным директором был Кевин Томпсон. Рамакришна не приедет еще три года) не хотел тратить достаточно средств на безопасность.

Торнтон-Трамп признает, что хакеры, взломавшие компанию, были настолько изощренными, что никому было бы трудно от них защититься. «Но если вы едете в нетрезвом виде, катитесь по дороге, шел дождь, и вы разбиваете свою машину», — сказал он, — «почему мы так сосредоточены на повреждении машины, а не на том, что на самом деле привело к серия событий, которые привели к великой гибели? »

Другими словами, сводится ли капитальный ремонт методов обеспечения безопасности SolarWinds к признанию того, что что-то пошло не так, или это просто ответственное обновление?

Рамакришна сказал, что и то, и другое.«Часто происходит то, что люди проводят расследования, выявляют уроки и затем внедряют что-то подобное», — сказал он. «Можем ли мы сделать что-то лучше? Абсолютно. И, честно говоря, даже после реализации этих 11 вещей, я буду искать следующие 11 вещей, над которыми можно работать, потому что противники становятся все умнее и умнее с каждым днем».

Рамакришна сказал, что ему интересно, почему из всех компаний-разработчиков программного обеспечения, из которых ей пришлось выбирать, российская разведка в конечном итоге выбрала SolarWinds.

«Я много думал об этом, почему мы, а почему не кто-то другой», — сказал он. «И это продолжается при любом расследовании. Если вы думаете об этом, сегодня мы развернуты у более чем 300 000 клиентов. Таким образом, мы используем довольно широко развернутое программное обеспечение и пользуемся административными привилегиями в клиентских средах. при этом цель будет заключаться в том, чтобы попытаться получить широкий спектр развертывания, а затем вы выбираете, что вы хотите делать оттуда.»

Какой бы ни была причина, по которой SolarWinds оказался в центре внимания, атака выявила впечатляющую неспособность киберсообщества США соединить точки. Не только ранние предупреждения от Volexity или расследование с Palo Alto Networks, но и простое открытие, сделанное одиноким кибернетиком. исследователь из Бангалора предполагает, что в нашем цифровом мире что-то не так.

Более крупные атаки

«Это одна из самых эффективных кампаний кибершпионажа всех времен», — сказал Алекс Стамос, директор Интернет-обсерватории Стэнфордского университета. и бывший глава службы безопасности Facebook.«При этом они продемонстрировали не только техническую проницательность, но и то, как они это сделали, продемонстрировали, что понимают, как работают технологические компании, как работают компании-разработчики программного обеспечения … Это, безусловно, изменит то, как крупные предприятия думают о программном обеспечении. они устанавливают и думают о том, как они обрабатывают обновления «.

Противники с каждым днем ​​становятся все умнее и умнее.

Судхакар Рамакришна, генеральный директор и президент SolarWinds

Аналитикам разведки, опередившим нас на несколько лет, платят за то, чтобы они представляли самые мрачные сценарии.Что, если хакеры заложили семена будущих атак в течение тех девяти месяцев, в течение которых они исследовали сети клиентов SolarWinds — скрывали ли они код для бэкдоров, которые позволят им приходить и уходить, когда им заблагорассудится, в любое время по их выбору? Когда хакеры отключили энергосистему Украины в 2015 году и через год отключили саудовский нефтеперерабатывающий завод с помощью компьютерного кода, они показали, что можно перейти от корпоративной сети к системному контролю. Узнаем ли мы позже, что взлом SolarWinds подготовил почву для чего-то более зловещего?

Даже если бы это была всего лишь шпионская операция, по словам Мандиа FireEye, атака на SolarWinds является переломным моментом.«Мы … как бы наметили эволюцию угроз и кибернетической информации», — сказал он. «И мы бы рано или поздно пришли к выводу, что в какой-то момент программное обеспечение, от которого зависят многие компании, станет мишенью, и это приведет именно к тому, к чему привело», — сказал Мандиа. «Но чтобы увидеть, как это произошло, вас ждет немного шока и удивления. Хорошо, теперь это здесь, нации нацелены на [] частный сектор, нет волшебной палочки, которой вы могли бы встряхнуть … Это действительно сложная проблема решать.»

Администрация Байдена работает над вторым указом, выходящим за рамки санкций, который должен решить некоторые из проблем, которые SolarWinds решительно решила.

Энн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности и новым технологиям в отвечает за реакцию на атаку SolarWinds, готовит приказ, который, среди прочего, потребует, чтобы компании, работающие с правительством США, соблюдали определенные стандарты программного обеспечения, а федеральные агентства должны будут принять базовые методы безопасности, такие как шифрование данных в своих системах. .

Кроме того, от компаний-разработчиков программного обеспечения, таких как SolarWinds, может потребоваться, чтобы их так называемые системы сборки — место, где они собирают свое программное обеспечение — были закрытыми, что означает, что они не будут подключены к Интернету. Как стало известно NPR, все эти элементы все еще обсуждаются в рамках указа.

Энн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности и новейшим технологиям, отвечает за реагирование на атаки SolarWinds.Она готовит приказ, который потребует от компаний, работающих с США, соблюдать определенные стандарты программного обеспечения, а федеральные агентства должны будут принять определенные базовые методы обеспечения безопасности. Дрю Ангерер / Getty Images скрыть подпись

Энн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности и новейшим технологиям, отвечает за реагирование на атаки SolarWinds.Она готовит приказ, который потребует от компаний, работающих с США, соблюдать определенные стандарты программного обеспечения, а федеральные агентства должны будут принять определенные базовые методы обеспечения безопасности.

Еще одна идея, которая набирает обороты, — это создание своего рода Национального совета по безопасности на транспорте, или NTSB, для расследования кибератак более формальным образом.

«Когда Boeing 737 Maxes начал падать, существовало правительственное агентство, вся работа которого заключалась в сборе фактов всех этих различных аварий, а затем в разработке теории того, что необходимо исправить, а затем наблюдении за исправлениями, которые вошел в это «, сказал Стамос.«Нам нужна такая же функция в правительстве США».

ФБР могло провести расследование киберпреступности, а какое-то федеральное агентство изучило бы коренные причины кибератаки и внесло соответствующие изменения в наши действия. Мандия сказала, что что-то подобное, вероятно, должно существовать.

«Когда вы думаете о конфликте, у вас есть воздух, земля, море и космос, а теперь и кибернетический», — сказал он. «Но в киберпространстве частный сектор находится в центре внимания. Любой конфликт в киберпространстве, будь то мотивированный криминальным элементом или мотивированный геополитическими условиями, будет затрагивать как правительство, так и частный сектор.И этот ответ, поскольку он влияет на оба, вам почти нужна сортировка, от которой обе стороны, как частный, так и государственный сектор, выиграют, как и NTSB ».

Мандиа предполагает наличие комиссии по рассмотрению значительных инцидентов, где собираются разведданные и нация находит способ защитить себя надлежащим образом. В настоящее время ответственность за проведение всех расследований ложится на частные компании.

Представитель администрации Байдена сказал репортерам во время брифинга в четверг, что одна из причин, по которой Белый дом так решительно отреагировал на атаку SolarWinds, заключается в том, что такого рода взломы ложатся чрезмерным бременем на частные компании.

Это одна из самых эффективных кибершпионажных кампаний всех времен.

Алекс Стамос, директор Интернет-обсерватории Стэнфордского университета и бывший руководитель службы безопасности Facebook

Федеральная проверка может помочь в решении одной из проблем, которые до сих пор преследовали киберпространство: как гарантировать, что поставщики программного и аппаратного обеспечения раскрывают взломы, когда они их обнаруживают. Может ли комиссия по обзору убрать ущерб репутации публичного признания того, что вас взломали? Может ли это дать компаниям, таким как Volexity и Palo Alto Networks, куда пойти, когда они увидят проблему?

В конечном итоге цель состоит в том, чтобы соединить точки и отреагировать таким образом, чтобы сделать нас более безопасными.И толчком ко всему этому могло быть то испорченное рутинное обновление. По словам Рамакришны, это одна из основных причин, по которой SolarWinds решила стать публичной.

«Мы вышли и опубликовали весь исходный код, потому что мы хотели, чтобы люди, независимо от поставщика, может ли он быть нашим конкурентом или нет, проверяли ваше программное обеспечение, чтобы убедиться, что у вас нет — сказал он. «Так что, хотя нам было прискорбно, что мы стали объектом этой атаки, я надеюсь, что, извлекая уроки из нее, мы сможем помочь более широкому сообществу.«

Тем не менее, некоторые части этой истории могут показаться знакомыми: упущенные возможности, намеки на проблему, которые были проигнорированы, неспособность сотрудников разведки США соединить точки. Кто бы мог подумать, что обычное обновление программного обеспечения может запустить кибератака эпических масштабов?

«Это была операция по сбору разведывательных данных, предназначенная для кражи информации, и это не последний раз, когда это произойдет, — предупредил Мейерс из CrowdStrike. — Это будет происходить каждый день…. И я думаю, что нам всем нужно многое сделать, чтобы этого не произошло ».

Моника Евстатиева из NPR внесла свой вклад в этот отчет.