Tai galėjo būti Tomo Clancy romanas iš „NetForce“ serijos, bet tai yra knyga parašė „Microsoft“ prezidentas Bradas Smithas, pagerbdamas save ir savo įmonę. Bet kokiu atveju, jei skaitote tarp eilučių (bent jau ekstraktas prie kurio turėjo prieigą portalas) ir atskiria savęs paglostymus ant nugaros ir lazdas konkurentams, tai, kas lieka, yra labai įdomu ir pamokanti. Ir, mano kuklia nuomone, nemokamo ir atviro kodo programinės įrangos modelio privalumų pavyzdys.
Personažai
Kiekvienam šnipų romanui reikia „blogo vaikino“, ir šiuo atveju mes turime ne ką mažiau nei SVR, viena iš organizacijų, pakeitusių KGB po SSRS žlugimo. SVR vykdo visas žvalgybos užduotis, vykdomas už Rusijos Federacijos sienų. „Nekaltąja auka“ tapo tinklo valdymo programinę įrangą kurianti bendrovė „SolarWinds“.Jį naudoja didelės korporacijos, ypatingos svarbos infrastruktūros valdytojai ir JAV vyriausybinės agentūros. Žinoma, mums reikia herojaus. Šiuo atveju, pasak jų, tai yra „Microsoft“ grėsmių žvalgybos departamentas.
Kaip galėtų būti kitaip, įsilaužėlių istorijoje „blogi“ ir „geri“ turi slapyvardį. SVR yra itris (itris). „Microsoft“ naudoja retesnius periodinės lentelės elementus kaip galimų grėsmių šaltinių kodinį pavadinimą. Grėsmių žvalgybos departamentas yra MSTIC dėl akronimo anglų kalba, nors viduje jie taria jį mistiniu (mistiniu) dėl fonetinio panašumo. Toliau patogumo dėlei vartosiu šiuos terminus.
„Microsoft“ prieš SVR. Faktai
30 m. Lapkričio 2020 d. „FireEye“, viena iš pirmaujančių kompiuterių saugumo kompanijų JAV, sužino, kad patyrė saugumo pažeidimą savo serveriuose. Kadangi jie patys negalėjo to sutvarkyti (atsiprašau, bet negaliu nustoti sakyti „kalvio namas, medinis peilis“), jie nusprendė paprašyti „Microsoft“ specialistų pagalbos. Kadangi MSTIC sekė itrio pėdomis irJie iš karto įtarė rusus, o šią diagnozę vėliau patvirtino oficialios JAV žvalgybos tarnybos.
Bėgant dienoms buvo nustatyta, kad išpuoliai buvo nukreipti į jautrius kompiuterių tinklus visame pasaulyje, įskaitant pačią „Microsoft“. Remiantis laikraščių pranešimais, akivaizdžiai pagrindinis išpuolio taikinys buvo JAV vyriausybė - Iždo departamentas, Valstybės departamentas, Prekybos departamentas, Energetikos departamentas ir kai kurios Pentagono dalys. Dešimtys nukentėjusių organizacijų įtrauktos į aukų sąrašą. Tai apima kitas technologijų įmones, vyriausybės rangovus, ekspertų grupes ir universitetą. Išpuoliai buvo nukreipti ne tik prieš JAV, nes jie paveikė Kanadą, Jungtinę Karalystę, Belgiją, Ispaniją, Izraelį ir Jungtinius Arabų Emyratus. Kai kuriais atvejais įsiskverbimas į tinklą truko kelis mėnesius.
Kilmė
Viskas prasidėjo nuo tinklo valdymo programinės įrangos pavadinimu „Orion“ ir sukurta bendrovės „SolarWinds“. Su daugiau nei 38000 XNUMX verslo klientų aukšto lygio, užpuolikai į atnaujinimą turėjo įterpti tik kenkėjišką programą.
Įdiegus kenkėjišką programą, ji buvo prijungta prie to, kas techniškai žinoma kaip komandų ir valdymo (C2) serveris. C2 e serverisJis buvo užprogramuotas taip, kad suteiktų prijungtam kompiuteriui tokias užduotis, kaip galimybė perkelti failus, vykdyti komandas, iš naujo paleisti kompiuterį ir išjungti sistemos paslaugas. Kitaip tariant, „Itrio“ agentai gavo visišką prieigą prie tų, kurie įdiegė „Orion“ programos naujinį, tinklo.
Toliau ketinu pažodžiui pacituoti Smitho straipsnio pastraipą
Neilgai trukus supratome
techninio komandinio darbo svarbą pramonėje ir su vyriausybeiš JAV. Inžinieriai iš „SolarWinds“, „FireEye“ ir „Microsoft“ nedelsdami pradėjo dirbti kartu. „FireEye“ ir „Microsoft“ komandos gerai pažinojo viena kitą, tačiau „SolarWinds“ buvo mažesnė įmonė, susidūrusi su didele krize, ir komandos turėjo greitai sukurti pasitikėjimą, kad jos būtų veiksmingos.„SolarWinds“ inžinieriai pasidalino savo atnaujinimo šaltinio kodu su kitų dviejų bendrovių saugos komandomis,kuris atskleidė pačios kenkėjiškos programos šaltinio kodą. JAV vyriausybės techninės komandos greitai ėmėsi veiksmų, ypač Nacionalinėje saugumo agentūroje (NSA) ir Valstybės saugumo departamento Kibernetinio saugumo ir infrastruktūros saugumo agentūroje (CISA).
Svarbiausi akcentai yra mano. Tai komandinis darbas ir dalijimasis šaltinio kodu. Ar jums tai neskamba?
Atidarius galines duris, kenkėjiška programa buvo neaktyvi dvi savaites, kad nebūtų sukurti tinklo žurnalo įrašai, kurie įspėtų administratorius. PPer šį laikotarpį ji išsiuntė informaciją apie tinklą, užkrėtusį komandų ir valdymo serverį. kuriuos užpuolikai turėjo su „GoDaddy“ prieglobos paslaugų teikėju.
Jei turinys buvo įdomus itriui, užpuolikai įėjo pro galines duris ir užpultame serveryje įdiegė papildomą kodą prisijungti prie antrojo komandų ir valdymo serverio. Šis antrasis serveris, unikalus kiekvienai aukai, padedantis išvengti aptikimo, buvo užregistruotas ir priglobtas antrame duomenų centre, dažnai „Amazon Web Services“ (AWS) debesyje.
„Microsoft“ prieš SVR. Moralas
Jei jus domina sužinoti, kaip mūsų herojai atidavė piktadariams deramą sumą, pirmose pastraipose rasite nuorodas į šaltinius. Iš karto pereisiu prie to, kodėl rašau apie tai „Linux“ tinklaraštyje. „Microsoft“ akistata prieš SVR rodo, kad svarbu, kad kodas būtų prieinamas analizuoti, ir kad žinios yra kolektyvinės.
Tiesa, kaip šį rytą man priminė prestižinis kompiuterių saugumo specialistas, kad nenaudinga, kad kodas būtų atidarytas, jei niekas nesirūpintų jo išanalizavimu. „Heartbleed“ atvejis tai įrodo. Bet, pakartokime. 38000 XNUMX aukščiausios klasės klientų prisiregistravo prie patentuotos programinės įrangos. Keletas jų įdiegė kenkėjiškų programų naujinį, atskleidusį neskelbtiną informaciją ir suteikdamas galimybę kontroliuoti priešiškus kritinės infrastruktūros elementus. Atsakinga įmonė jis suteikė kodą specialistams tik tada, kai buvo su vandeniu ant kaklo. Jei reikėjo programinės įrangos tiekėjų, skirtų ypatingos svarbos infrastruktūrai ir jautriems klientams Išleisdami savo programinę įrangą turėdami atviras licencijas, nes turint kodo auditorių (arba išorės agentūrą, dirbančią kelis), tokių atakų kaip „SolarWinds“ rizika būtų daug mažesnė.
Ne taip seniai M $ apkaltino komunistus visus, kurie naudojosi nemokama programine įranga, kaip blogiausiu makartizmu.