Това можеше да е роман на Том Кланси от серията NetForce, но това е книга написано от президента на Microsoft Брад Смит в знак на почит към себе си и неговата компания. Както и да е, ако човек чете между редовете (поне в екстрактът до който порталът е имал достъп) и разделя самостоятелните потупвания по гърба и пръчките към състезателите, това, което остава, е много интересно и поучително. И, по мое скромно мнение, извадка от предимствата на безплатния софтуерен модел с отворен код.
Герои
Всеки шпионски роман се нуждае от „лош човек“ и в този случай нямаме нищо по -малко от SVR, една от организациите, наследили КГБ след разпадането на СССР. SVR се занимава с всички разузнавателни задачи, извършвани извън границата на Руската федерация. "Невинната жертва" беше SolarWinds, компания, която разработва софтуер за управление на мрежата.Използва се от големи корпорации, мениджъри на критична инфраструктура и правителствени агенции на САЩ. Разбира се, имаме нужда от герой. В този случай, според тях, това е отделът за разузнаване на заплахи на Microsoft.
Как би могло да бъде иначе, в една хакерска история „лошите“ и „добрите“ имат псевдоним. SVR е итрий (итрий). В Microsoft те използват по -рядко срещаните елементи на периодичната таблица като кодово име за възможни източници на заплахи. Отделът за разузнаване на заплахите е MSTIC за съкращението му на английски, въпреки че вътрешно го обявяват за мистик (мистик) за фонетично сходство. По -долу, за удобство, ще използвам тези термини.
Microsoft срещу SVR. Фактите
На 30 ноември 2020 г. FireEye, една от водещите компании за компютърна сигурност в САЩ, открива, че е претърпяла пробив в сигурността на собствените си сървъри. Тъй като те не успяха да го решат сами (съжалявам, но не мога да спра да казвам „къщата на ковача, дървен нож“), те решиха да помолят за помощ специалистите на Microsoft. Тъй като MSTIC вървя по стъпките на Итрий иТе веднага бяха подозрителни към руснаците, диагноза, потвърдена по -късно от официалните американски разузнавателни служби.
С течение на дните беше установено, че атаките са насочени към чувствителни компютърни мрежи по целия свят, включително самата Microsoft. Според съобщения в медиите правителството на САЩ очевидно е било основната цел на атаката, като Министерството на финансите, Държавния департамент, Министерството на търговията, Министерството на енергетиката и части от Пентагона. Десетки засегнати организации в списъка на жертвите. Те включват други технологични компании, държавни изпълнители, мозъчни тръстове и университет. Атаките не бяха насочени само срещу САЩ, тъй като засегнаха Канада, Обединеното кралство, Белгия, Испания, Израел и Обединените арабски емирства. В някои от случаите проникването в мрежата продължи няколко месеца.
Произходът
Всичко започна със софтуера за управление на мрежата, наречен Orion и разработен от компания, наречена SolarWinds. С повече от 38000 XNUMX корпоративни клиенти високо ниво, нападателите трябваше само да вмъкнат злонамерен софтуер в актуализация.
Веднъж инсталиран, зловредният софтуер се свързва с това, което е технически известно като сървър за управление и управление (C2). Сървърът C2 eТой е програмиран да дава на свързания компютър задачи, като например възможност за прехвърляне на файлове, изпълнение на команди, рестартиране на машина и деактивиране на системни услуги. С други думи, агентите на Yttrium получиха пълен достъп до мрежата на онези, които са инсталирали актуализацията на програмата Orion.
След това ще цитирам дословен абзац от статията на Смит
Не ни отне много време да осъзнаем
значението на техническата работа в екип в цялата индустрия и с правителствотоот САЩ. Инженерите от SolarWinds, FireEye и Microsoft веднага започнаха да работят заедно. Екипите на FireEye и Microsoft се познаваха добре, но SolarWinds беше по -малка компания, изправена пред голяма криза и екипите трябваше бързо да изградят доверие, за да бъдат ефективни.Инженерите на SolarWinds споделиха изходния код на своята актуализация с екипите за сигурност на другите две компании,която разкрива изходния код на самия зловреден софтуер. Технически екипи от правителството на САЩ бързо започнаха да действат, особено в Агенцията за национална сигурност (NSA) и Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) на Министерството на вътрешната сигурност.
Акцентите са мои. Това за работа в екип и споделяне на изходния код. Това не ви ли звучи като нещо?
След отваряне на задната врата, зловредният софтуер е бил неактивен в продължение на две седмици, за да се избегне създаването на записи в мрежовия дневник, които да предупреждават администраторите. PПрез този период той изпраща информация за мрежата, която е заразила сървър за управление и управление. което нападателите са имали с хостинг доставчика GoDaddy.
Ако съдържанието беше интересно за Итриум, нападателите влязоха през задната врата и инсталираха допълнителен код на атакувания сървър, за да се свържат с втори сървър за управление и управление. Този втори сървър, уникален за всяка жертва, за да избегне откриването, беше регистриран и хостван във втори център за данни, често в облака на Amazon Web Services (AWS).
Microsoft срещу SVR. Моралът
Ако се интересувате как нашите герои са дали на злодеите си заслуженото, в първите параграфи имате връзки към източниците. Ще отида направо на въпроса защо пиша за това в блог на Linux. Сблъсъкът на Microsoft срещу SVR показва важността на кода да бъде достъпен за анализ и че знанията са колективни.
Вярно е, както ми напомни престижен специалист по компютърна сигурност тази сутрин, че е безполезно кодът да бъде отворен, ако никой не си направи труда да го анализира. Има случай на Heartbleed, който го доказва. Но нека да обобщим. 38000 XNUMX клиенти от висок клас са се регистрирали за патентован софтуер. Няколко от тях инсталират актуализация на зловреден софтуер, която разкрива чувствителна информация и дава контрол на враждебни елементи на критичната инфраструктура. Отговорната компания той направи кода достъпен само за специалисти, когато беше с водата около врата си. Ако бяха необходими доставчици на софтуер за критична инфраструктура и чувствителни клиенти Пускането на вашия софтуер с отворени лицензи, тъй като наличието на резидентен одитор на код (или външна агенция, работеща за няколко), рискът от атаки като SolarWinds би бил много по -малък.
Не толкова отдавна M $ обвиняваше всички, които използваха безплатен софтуер на комунистите, както в най -лошото от маккартизма.