Świat stoi teraz w obliczu czegoś, co można nazwać erą cyberataków piątej generacji. Atak Sunburst, to wyrafinowany, wielowektorowy atak, potencjalnie przeprowadzany przez podmioty państwowe.
Co wiemy?
13 grudnia biura rządowe USA ujawniły, że struktury ich organizacji państwowych stały się celem mega ataków wraz z wieloma firmami technologicznymi takimi jak giganci rynku IT Microsoft, FireEye, Cisco, Intel czy Nvidia. Co gorsza także agencja odpowiedzialna za bezpieczeństwo jądrowe USA- Amerykańska Narodowa Administracja Bezpieczeństwa Jądrowego (NNSA).
Całościowe zaprojektowanie ataków Sunburst z całą pewnością zajęło wiele czasu na przygotowania. Głównym założeniem hakerów określanych jako DarkHalo było zainfekowanie (wbudowując do niej backdoor po przez przejęcie okręslonego certyfikatu) aktualizacji oprogramowania firmy SolarWinds. Platforma Orion służąca do monitorowania procesów w różnego rodzaju firmach i organizacjach tj Polskie MSWiA.
Najważniejsze informacje jakie można wywnioskować z dostępnych danych:
- zainfekowana platforma jest bardzo ważnym narzędziem w wielu organizacjach ponieważ koreluje ogromną ilość wrażliwych danych
- dostęp do Oriona ma niewielka ściśle kontrolowana ilość osób
W pierwszych chwilach po aktywacji (co może trwać nawet kilka tygodni). Sunburst przesyła informacje o zainfekowanych stacjach roboczych poprzez szyfrowane żądania DNS. Dzięki temu atakujący mogli stworzyć bazę najciekawszych dla siebie celów, na których powinni się skupić.
Supply-Chain Attack
Hakerzy zajmujący się atakiem wykazali się sporym wyrafinowaniem i cierpliwością wykorzystując do tego celu tzw Supply-Chain Attack (atak na łańcuch dostaw). Tego typu działania nie są wykonywane bezpośrednio na cele swoich ataków. Wykorzystują do tego zarażonego przez siebie dostawcę pewnych usług lub oprogramowania. Niejako dając potencjalnej ofierze złudzenie bezpieczeństwa. Podejrzewa się, że SunBurst miał możliwość działania już w połowie 2020 roku. Przez co proceder można bez przeszkód nazwać największym atakiem w 2020, a także jest głównym pretendentem do nagrody “ataku dekady”. Ilość informacji wywiadowczych, która mogła zostać wykradziona z organizacji i firm przez te 6 miesięcy można liczyć w setkach TB.
Specjaliści ds bezpieczeństwa twierdzą, że naprawa struktur może zając wiele miesięcy. Lepszym rozwiązaniem będzie zasada spalonej ziemi, czyli stworzenia nowych systemów i sieci wolnych od wirusów.
Kto stoi za atakami Sunburst
Ataki na agencje rządowe USA oraz forma ataku spowodowała iż specjaliści doszli do wniosku, że za atakami może stać niesławna APT39. Grupa hakerska przypuszczalnie sponsorowana przez rosyjski rząd, lub będącą tajną jednostką (SVR). Podejrzewa się ich o ingerencje w wybory z 2016, w których wygrał były już prezydent D. Trump.
Jak chronić się przed atakami podobnymi do SunBurst
Niestety większość obecnych systemów zapobiegania atakom mogą nie być w stanie zapewnić 100% ochrony przed nieznanymi dotąd formami cyberataków. Dlatego najważniejszym zadaniem organizacji w jest proaktywne zapobieganie takim działaniom poprzez wykorzystanie narzędzi takich jak platforma BAS (ang. Breach and Attack Simulation) firmy Cymulate pozwalająca symulować przebieg ataku i odnalezienie słabych punktów zabezpieczeń.
Ważnym narzędziem może być AI zintegrowane z nowoczesnymi systemami zabezpieczeń typu UTM.
