Tas varēja būt Toma Klensija romāns no NetForce sērijas, bet tā ir grāmata rakstīja Microsoft prezidents Breds Smits, godinot sevi un savu uzņēmumu. Jebkurā gadījumā, ja lasāt starp rindām (vismaz collas ekstrakts portālam bija piekļuve) un atdala pašpatusus pa muguru un nūjas pret konkurentiem, tas, kas paliek, ir ļoti interesants un pamācošs. Un, manuprāt, brīvas programmatūras un atvērtā pirmkoda modeļa priekšrocību paraugs.
Rakstzīmes
Katram spiegu romānam ir vajadzīgs "slikts puisis", un šajā gadījumā mums nav nekas cits kā SVR, viena no organizācijām, kas pēc PSRS sabrukuma kļuva par VDK pēcteci. SVR nodarbojas ar visiem izlūkošanas uzdevumiem, kas tiek veikti ārpus Krievijas Federācijas robežas. "Nevainīgais upuris" bija uzņēmums SolarWinds, kas izstrādā tīkla pārvaldības programmatūru.To izmanto lielas korporācijas, kritiskās infrastruktūras pārvaldītāji un ASV valdības aģentūras. Protams, mums ir vajadzīgs varonis. Šajā gadījumā, pēc viņu pašu domām, tas ir Microsoft draudu izlūkošanas departaments.
Kā tas varētu būt citādi, hakeru stāstā "sliktajiem" un "labajiem" ir aizstājvārds. SVR ir itrijs (itrijs). Uzņēmumā Microsoft viņi izmanto retāk sastopamos periodiskās tabulas elementus kā koda nosaukumu iespējamiem draudu avotiem. Drošības izlūkošanas departaments ir MSTIC tā akronīms angļu valodā, lai gan iekšēji viņi to izrunā par mistisku (mistisku) fonētiskās līdzības dēļ. Turpmāk ērtības labad es izmantošu šos terminus.
Microsoft pret SVR. Fakti
30. gada 2020. novembrī viena no vadošajām ASV datoru drošības kompānijām FireEye atklāj, ka ir cietusi drošības pārkāpums savos serveros. Tā kā viņi paši nespēja to atrisināt (atvainojiet, bet nevaru beigt teikt "kalēja māja, koka nazis"), viņi nolēma lūgt Microsoft speciālistu palīdzību. Kopš MSTIC bija sekojis itrija pēdās, unViņiem uzreiz bija aizdomas par krieviem, vēlāk šo diagnozi apstiprināja oficiālie ASV izlūkdienesti.
Pagāja dienas, un tika konstatēts, ka uzbrukumi ir vērsti uz jutīgiem datortīkliem visā pasaulē, ieskaitot pašu Microsoft. Saskaņā ar plašsaziņas līdzekļu ziņojumiem, uzbrukuma galvenais mērķis acīmredzami bija Amerikas Savienoto Valstu valdība, kuras upuru sarakstā bija Finanšu ministrija, Valsts departaments, Tirdzniecības departaments, Enerģētikas departaments un daļa Pentagona. Tie ietver citus tehnoloģiju uzņēmumus, valdības darbuzņēmējus, ideju laboratorijas un universitāti. Uzbrukumi nebija vērsti tikai pret ASV, jo tie skāra Kanādu, Apvienoto Karalisti, Beļģiju, Spāniju, Izraēlu un Apvienotos Arābu Emirātus. Dažos gadījumos iekļūšana tīklā ilga vairākus mēnešus.
Izcelsme
Viss sākās ar tīkla pārvaldības programmatūru Orion, ko izstrādāja uzņēmums SolarWinds. Ar vairāk nekā 38000 XNUMX korporatīvo klientu augsta līmeņa, uzbrucējiem bija tikai jāievieto ļaunprātīga programmatūra atjauninājumā.
Kad ļaunprātīgā programmatūra ir instalēta, tā ir savienota ar tehniski pazīstamo kā komandu un kontroles (C2) serveri. C2 e serverisTas bija ieprogrammēts, lai piešķirtu pievienotajam datoram tādus uzdevumus kā spēja pārsūtīt failus, izpildīt komandas, pārstartēt mašīnu un atspējot sistēmas pakalpojumus. Citiem vārdiem sakot, itrija aģenti ieguva pilnīgu piekļuvi to lietotāju tīklam, kuri bija instalējuši Orion programmas atjauninājumu.
Tālāk es citēšu burtiski rindkopu no Smita raksta
Nepagāja ilgs laiks, līdz mēs to sapratām
tehniskā komandas darba nozīme visā nozarē un ar valdībuno ASV. Inženieri no SolarWinds, FireEye un Microsoft nekavējoties sāka strādāt kopā. FireEye un Microsoft komandas viens otru labi pazina, taču SolarWinds bija mazāks uzņēmums, kas saskaras ar lielu krīzi, un komandām bija ātri jāveido uzticība, lai tās būtu efektīvas.SolarWinds inženieri kopīgoja atjauninājuma avota kodu ar pārējo divu uzņēmumu drošības komandām,kas atklāja pašas ļaunprātīgās programmatūras avota kodu. ASV valdības tehniskās komandas ātri sāka darboties, jo īpaši Nacionālās drošības aģentūrā (NSA) un Iekšējās drošības departamenta Kiberdrošības un infrastruktūras drošības aģentūrā (CISA).
Svarīgākie ir mani. Tas ir komandas darbs un avota koda kopīgošana. Vai jums tas neizklausās?
Pēc aizmugurējo durvju atvēršanas, ļaunprātīga programmatūra bija neaktīva divas nedēļas, lai neveidotu tīkla žurnāla ierakstus, kas brīdinātu administratorus. LppŠajā periodā tā nosūtīja informāciju par tīklu, kas bija inficējis komandu un kontroles serveri. kas uzbrucējiem bija ar GoDaddy mitināšanas pakalpojumu sniedzēju.
Ja saturs itrijam bija interesants, uzbrucēji ienāca pa aizmugurējām durvīm un uzbruka serverī uzstādīja papildu kodu, lai izveidotu savienojumu ar otru komandu un kontroles serveri. Šis otrais serveris, kas ir unikāls katram cietušajam, lai palīdzētu izvairīties no atklāšanas, tika reģistrēts un mitināts otrajā datu centrā, bieži vien Amazon Web Services (AWS) mākonī.
Microsoft pret SVR. Morāle
Ja jūs interesē zināt, kā mūsu varoņi saviem ļaundariem deva to, ko viņi ir pelnījuši, pirmajās rindkopās jums ir saites uz avotiem. Es tūlīt pāriešu uz to, kāpēc es par to rakstu Linux emuārā. Microsoft konfrontācija ar SVR parāda, ka ir svarīgi, lai kods būtu pieejams analīzei un ka zināšanas ir kolektīvas.
Taisnība, kā šorīt man atgādināja prestižais datoru drošības speciālists, ir bezjēdzīgi, ja kods ir atvērts, ja neviens nemēģina to analizēt. Lai pierādītu, ir Heartbleed gadījums. Bet, atkārtosim. 38000 XNUMX augstākās klases klientu pierakstījās patentētā programmatūrā. Vairāki no viņiem instalēja ļaunprātīgas programmatūras atjauninājumu, kas atklāja sensitīvu informāciju un deva kontroli kritiski svarīgas infrastruktūras naidīgajiem elementiem. Atbildīgais uzņēmums Viņš sniedza kodu speciālistiem tikai tad, kad bija ar ūdeni ap kaklu. Ja bija nepieciešami programmatūras pārdevēji kritiskai infrastruktūrai un jutīgiem klientiem Programmatūras izlaišana ar atvērtām licencēm, jo, ja ir rezidenta koda revidents (vai ārēja aģentūra, kas strādā vairākus), tādu uzbrukumu kā SolarWinds risks būtu daudz mazāks.
Ne tik sen M $ apsūdzēja komunistus ikvienu, kas izmantoja bezmaksas programmatūru, kā tas bija sliktākajā McCarthyism.