NetForce 시리즈의 Tom Clancy 소설일 수도 있지만, 그것은 책이다 Microsoft 회장 Brad Smith가 자신과 회사를 기리기 위해 작성했습니다. 어쨌든 행 사이를 읽으면(적어도 추출물 포탈로 접속) 등의 셀프 팻과 경쟁사에 대한 스틱을 분리, 남은 것은 매우 흥미롭고 유익합니다. 그리고 겸손한 견해로는 무료 및 오픈 소스 소프트웨어 모델의 이점에 대한 샘플입니다.
캐릭터
모든 스파이 소설에는 "나쁜 녀석"이 필요하며, 이 경우에는 SVR 외에는 아무것도 없습니다. 소련 붕괴 후 KGB를 계승한 조직 중 하나. SVR은 러시아 국경 밖에서 수행되는 모든 정보 작업을 처리합니다. "무고한 피해자"는 네트워크 관리 소프트웨어를 개발하는 회사인 SolarWinds였습니다.대기업, 중요 인프라 관리자 및 미국 정부 기관에서 사용합니다. 물론 영웅이 필요합니다. 이 경우 그들 자신에 따르면 Microsoft 위협 인텔리전스 부서입니다.
그렇지 않으면 해커 이야기에서 "나쁜"과 "좋은"이 별칭을 가질 수 있습니다. SVR은 이트륨(Yttrium)입니다. Microsoft에서는 주기율표의 덜 일반적인 요소를 잠재적 위협 소스의 코드 이름으로 사용합니다. 위협 인텔리전스 부서는 MSTIC입니다. 내부적으로는 음성학적 유사성으로 인해 신비주의(mystic)라고 발음하지만 영어로 된 약어입니다. 이제부터는 편의상 이 용어들을 사용하겠습니다.
마이크로소프트 대 SVR. 사실
30년 2020월 XNUMX일, 미국 최고의 정보 보안 회사 중 하나인 FireEye가 자체 서버에서 보안 침해를 당했다는 사실을 발견했습니다. 그들은 스스로 해결할 수 없었기 때문에(미안하지만 "대장장이의 집, 나무 칼"이라고 말하는 것을 멈출 수 없습니다) 그들은 Microsoft 전문가에게 도움을 요청하기로 결정했습니다. MSTIC에서와 마찬가지로 그들은 Yttrium의 발자취를 따르고 있었고그들은 즉시 러시아인을 의심했고 나중에 미국의 공식 정보국에서 진단을 확인했습니다.
며칠 동안 공격은 Microsoft 자체를 포함하여 전 세계의 민감한 컴퓨터 네트워크를 대상으로 한 것으로 밝혀졌습니다. 언론 보도에 따르면 미국 정부는 재무부, 국무부, 상무부, 에너지부 및 국방부 일부와 함께 분명히 공격의 주요 대상이었습니다. 영향을 받은 수십 개의 조직이 피해를 입었습니다. 여기에는 다른 기술 회사, 정부 계약자, 싱크 탱크 및 대학이 포함됩니다. 공격은 캐나다, 영국, 벨기에, 스페인, 이스라엘 및 아랍 에미레이트 연합에서 영향을 받았기 때문에 미국에 대한 것이 아닙니다. 어떤 경우에는 네트워크 침투가 몇 달 동안 지속되었습니다.
기원
이 모든 것은 Orion이라는 네트워크 관리 소프트웨어에서 시작되었고 SolarWinds라는 회사에서 개발했습니다. 38000개 이상의 기업 고객과 함께 높은 수준에서 공격자는 업데이트에 맬웨어를 삽입하기만 하면 되었습니다.
악성코드가 설치되면 기술적으로 명령 및 제어(C2) 서버로 알려진 서버에 연결됩니다. C2 서버와연결된 컴퓨터에 파일 전송, 명령 실행, 시스템 재부팅 및 시스템 서비스 비활성화와 같은 작업을 제공하도록 프로그래밍되었습니다. 즉, Yttrium 에이전트는 Orion 프로그램 업데이트를 설치한 사람들의 네트워크에 완전히 액세스할 수 있었습니다.
다음으로 Smith의 기사에서 축어적인 단락을 인용하겠습니다.
우리가 깨닫는 데 오래 걸리지 않습니다.
업계 및 정부와의 기술 팀워크의 중요성미국에서. SolarWinds, FireEye 및 Microsoft의 엔지니어는 즉시 협력하기 시작했습니다. FireEye와 Microsoft 팀은 서로를 잘 알고 있었지만 SolarWinds는 큰 위기에 직면한 작은 회사였으며 팀이 효과적이려면 신속하게 신뢰를 구축해야 했습니다.SolarWinds 엔지니어는 업데이트 소스 코드를 다른 두 회사의 보안 팀과 공유했습니다.악성 코드 자체의 소스 코드를 공개했습니다. 미국 정부의 기술팀, 특히 국가안보국(NSA)과 국토안보부 산하 사이버보안 및 기반시설 보안국(CISA)이 신속하게 조치를 취했습니다.
하이라이트는 내 것이다. 그 팀워크와 소스코드의 공유가 뭔가 와닿지 않나요?
뒷문을 연 후, 맬웨어는 XNUMX주 동안 비활성 상태를 유지했습니다. 관리자에게 경고하는 네트워크 로그 항목을 만들지 않도록 합니다. 피그 시간 동안 감염된 네트워크에 대한 정보를 C&C 서버로 보냈습니다. 공격자들이 호스팅 제공업체 GoDaddy와 공유한 것입니다.
이트륨에 대한 내용이 흥미로웠다면, 공격자는 백도어를 통해 침입하여 두 번째 명령 및 제어 서버에 연결하기 위해 공격받은 서버에 추가 코드를 설치했습니다.. 탐지를 피하기 위해 각 피해자에게 고유한 이 두 번째 서버는 Amazon Web Services(AWS) 클라우드에 있는 두 번째 데이터 센터에 등록 및 호스팅되었습니다.
마이크로소프트 대 SVR. 사기
우리 영웅들이 악당들에게 합당한 것을 어떻게 주었는지 알고 싶다면 첫 번째 단락에서 소스에 대한 링크를 찾을 수 있습니다. Linux 블로그에 이 글을 쓰는 이유에 대해 바로 설명하겠습니다. SVR에 대한 Microsoft의 결전은 코드를 분석에 사용할 수 있게 만들고 지식을 수집하는 것의 중요성을 보여줍니다.
컴퓨터 보안 분야의 저명한 전문가가 오늘 아침 나에게 상기시켜 주듯이 아무도 코드를 분석하지 않는다면 코드를 공개해도 소용이 없다는 것은 사실입니다. 그것을 증명하는 Heartbleed 사례가 있습니다. 하지만 요약해 보겠습니다. 38000명의 고급 고객이 독점 소프트웨어 계약. 이들 중 몇몇은 중요한 정보를 노출하고 중요한 인프라의 적대적인 요소를 제어하는 맬웨어 업데이트를 설치했습니다. 책임있는 회사 그는 목까지 물에 잠겼을 때만 전문가가 코드를 사용할 수 있도록 했습니다.. 중요 인프라 및 민감한 고객을 위한 소프트웨어 공급업체가 오픈 라이선스로 소프트웨어를 출시하고 상주 코드 감사자(또는 여러 외부 기관)를 보유하면 SolarWinds와 같은 공격의 위험이 훨씬 낮아질 것입니다.
얼마 전에 M$는 자유 소프트웨어를 사용하는 모든 사람을 공산주의자라고 비난했습니다. 최악의 매카시즘처럼요.