זה יכול היה להיות רומן של טום קלנסי מסדרת NetForce, אבל זה ספר נכתב על ידי נשיא מיקרוסופט בראד סמית למחווה לעצמו ולחברה שלו. בכל מקרה, אם קוראים בין השורות (לפחות ב את התמצית שאליה הייתה גישה לפורטל) ומפריד בין טפיחות העצמי על הגב והמקלות למתחרים, מה שנותר מאוד מעניין ומלמד. ובעניות דעתי, דוגמא של היתרונות של מודל התוכנה החינמית והקוד הפתוח.
תווים
כל רומן ריגול צריך "בחור רע", ובמקרה הזה יש לנו לא פחות מאשר ה- SVR, אחד הארגונים שהצליחו לרשת את הק.ג.ב לאחר קריסת ברית המועצות. ה- SVR עוסק בכל משימות המודיעין המתבצעות מחוץ לגבול הפדרציה הרוסית. "הקורבן התמים" הייתה חברת SolarWinds, המפתחת תוכנות לניהול רשתות.הוא משמש תאגידים גדולים, מנהלי תשתיות קריטיות וסוכנויות ממשלתיות בארה"ב. כמובן, אנו זקוקים לגיבור. במקרה זה, לטענתם, מדובר במחלקת מודיעין האיומים של מיקרוסופט.
איך יכול להיות אחרת, בסיפור האקרים, יש ל"רע "ול"טוב" כינוי. SVR הוא Yttrium (Yttrium). ב- Microsoft, הם משתמשים במרכיבים הפחות נפוצים של הטבלה המחזורית כשם קוד למקורות איומים אפשריים. מחלקת מודיעין האיומים היא חברת MSTIC על ראשי התיבות שלו באנגלית, למרות שבפנים הם מבטאים אותו מיסטי (מיסטי) בזכות הדמיון הפונטי. להלן, מטעמי נוחות, אשתמש במונחים אלה.
מיקרוסופט נגד SVR. העובדות
ב- 30 בנובמבר 2020, FireEye, אחת מחברות אבטחת המחשבים המובילות בארה"ב, מגלה כי היא ספגה הפרת אבטחה בשרתים שלה. מכיוון שהם לא הצליחו לפתור את זה בעצמם (אני מצטער, אבל אני לא יכול להפסיק להגיד את "בית הנפח, סכין עץ") הם החליטו לבקש עזרה ממומחי מיקרוסופט. מאחר ש- MSTIC עקבה אחר איתריום, והם חשדו מיד מול הרוסים, אבחון מאוחר יותר אושר על ידי שירותי המודיעין הרשמיים של ארה"ב.
ככל שחלפו הימים, ההתקפות התמקדו ברשתות מחשבים רגישות ברחבי העולם, כולל מיקרוסופט עצמה. על פי דיווחים בתקשורת, ממשלת ארצות הברית הייתה בבירור המטרה העיקרית של הפיגוע, כאשר משרד האוצר, משרד החוץ, משרד המסחר, משרד האנרגיה וחלקים מהפנטגון. עשרות ארגונים מושפעים ברשימת הקורבנות. אלה כוללים חברות טכנולוגיה אחרות, קבלנים ממשלתיים, מכוני חשיבה ואוניברסיטה. ההתקפות לא כוונו רק נגד ארצות הברית מכיוון שהשפיעו על קנדה, בריטניה, בלגיה, ספרד, ישראל ואיחוד האמירויות. בחלק מהמקרים חדירות לרשת נמשכו מספר חודשים.
המקור
הכל התחיל עם תוכנת ניהול רשת בשם אוריון ופותחה על ידי חברה בשם SolarWinds. עם יותר מ- 38000 לקוחות עסקיים תוקפים ברמה גבוהה היו צריכים להכניס תוכנות זדוניות לעדכון בלבד.
לאחר ההתקנה, התוכנה הזדונית מתחברת למה שמכונה מבחינה טכנית שרת פיקוד ושליטה (C2). שרת C2 eהוא תוכנן לתת למחשב המחובר משימות כגון יכולת העברת קבצים, ביצוע פקודות, אתחול מחדש של מכונה והשבתת שירותי מערכת. במילים אחרות, סוכני איתריום קיבלו גישה מלאה לרשת של אלה שהתקינו את עדכון התוכנית אוריון.
לאחר מכן אני עומד לצטט פסקה מילולית מתוך המאמר של סמית
לא לקח לנו הרבה זמן להבין
החשיבות של עבודת צוות טכנית ברחבי התעשייה ועם הממשלהמארצות הברית. מהנדסי SolarWinds, FireEye ומיקרוסופט החלו לעבוד ביחד באופן מיידי. צוותי FireEye ו- Microsoft הכירו זה את זה היטב, אך SolarWinds הייתה חברה קטנה יותר שעמדה בפני משבר גדול, והצוותים נאלצו לבנות אמון במהירות על מנת להיות יעילים.מהנדסי SolarWinds שיתפו את קוד המקור של העדכון שלהם עם צוותי האבטחה של שתי החברות האחרות,שחשף את קוד המקור של התוכנה הזדונית עצמה. צוותים טכניים של ממשלת ארה"ב יצאו במהירות לפעולה, במיוחד בסוכנות הביטחון הלאומי (NSA) ובסוכנות לביטחון הסייבר ותשתיות (CISA) של המשרד לביטחון פנים.
נקודות השיא הן שלי. זה של עבודת צוות ושיתוף קוד המקור. זה לא נשמע לך כמו משהו?
לאחר פתיחת הדלת האחורית, התוכנה הזדונית לא הייתה פעילה במשך שבועיים, כדי להימנע מיצירת ערכי יומן רשת שיזהירו את מנהלי המערכת. פבמהלך תקופה זו, היא שלחה מידע על הרשת שנדבקה בשרת פקודה ובקרה. שהיה לתוקפים עם ספק האירוח של GoDaddy.
אם התוכן היה מעניין עבור איתריום, התוקפים נכנסו דרך הדלת האחורית והתקינו קוד נוסף בשרת המותקף כדי להתחבר לשרת פקודה ושליטה שני. שרת שני זה, הייחודי לכל קורבן המסייע בהתחמקות מאיתור, נרשם והתארח במרכז נתונים שני, לעתים קרובות בענן שירותי האינטרנט (AWS) של אמזון.
מיקרוסופט נגד SVR. המורל
אם אתה מעוניין לדעת כיצד הגיבורים שלנו נתנו לנבלים שלהם את מה שמגיע להם, בפסקאות הראשונות יש לך את הקישורים למקורות. אני הולך לקפוץ ישר למה אני כותב על זה בבלוג לינוקס. העימות של מיקרוסופט מול ה- SVR מדגים את חשיבותו של הקוד הזמין לניתוח, וכי הידע הוא קולקטיבי.
זה נכון, כפי שהזכיר לי הבוקר מומחה אבטחת מחשבים יוקרתי, שאין טעם שהקוד יהיה פתוח אם אף אחד לא טורח לנתח אותו. יש מקרה Heartbleed להוכיח זאת. אבל, בואו נסכם. 38000 לקוחות מתקדמים נרשמו לתוכנות קנייניות. כמה מהם התקינו עדכון תוכנות זדוניות שחשפו מידע רגיש והעניקו שליטה לגורמים עוינים של תשתית קריטית. החברה האחראית הוא העמיד את הקוד לרשות מומחים רק כשהיה עם המים סביב צווארו. אם נדרשו ספקי תוכנה לתשתיות קריטיות וללקוחות רגישים שחרור התוכנה שלך עם רישיונות פתוחים, מכיוון שיש לך מבקר קוד תושב (או סוכנות חיצונית שעובדת בכמה) הסיכון להתקפות כמו SolarWinds יהיה נמוך בהרבה.
לא מזמן האשים M $ את כל מי שהשתמש בתוכנה חופשית של קומוניסטים, כמו במקרה הגרוע ביותר של מקארתיזם.