Microsoft tegen SVR. Waarom open source de norm zou moeten zijn

Diego Germán González

6 minuten

Microsoft versus SVR

Het had een Tom Clancy-roman uit de NetForce-serie kunnen zijn, maar het is een boek geschreven door Microsoft President Brad Smith als eerbetoon aan zichzelf en zijn bedrijf. Hoe dan ook, als je tussen de regels door leest (althans in het uittreksel waartoe een portaal toegang had) en scheidt de self-slaps op de rug en de sticks van de concurrenten, wat overblijft is zeer interessant en leerzaam. En, naar mijn bescheiden mening, een staaltje van de voordelen van het gratis en open source softwaremodel.

Tekens

Elke spionageroman heeft een "slechterik" nodig en in dit geval hebben we niets minder dan de SVR, een van de organisaties die de KGB opvolgden na de ineenstorting van de USSR. De SVR behandelt alle inlichtingentaken die buiten de grens van de Russische Federatie worden uitgevoerd. Het "onschuldige slachtoffer" was SolarWinds, een bedrijf dat software voor netwerkbeheer ontwikkelt.Het wordt gebruikt door grote bedrijven, beheerders van kritieke infrastructuur en Amerikaanse overheidsinstanties. Natuurlijk hebben we een held nodig. In dit geval is dat volgens hen de afdeling Threat Intelligence van Microsoft.

Hoe kan het ook anders, in een hackerverhaal hebben de "slechte" en de "goede" een alias. De SVR is Yttrium (Yttrium). Bij Microsoft gebruiken ze de minder gebruikelijke elementen van het periodiek systeem als codenaam voor mogelijke bronnen van bedreigingen. De afdeling Threat Intelligence is MSTIC voor zijn acroniem in het Engels, hoewel ze het intern mystic (mystic) uitspreken voor de fonetische overeenkomst. Hierna zal ik voor het gemak deze voorwaarden gebruiken.

Microsoft tegen SVR. De feiten

Op 30 november 2020 ontdekt FireEye, een van de belangrijkste computerbeveiligingsbedrijven in de VS, dat het een beveiligingsinbreuk op zijn eigen servers heeft opgelopen. Omdat ze het niet zelf konden repareren (het spijt me, maar ik kan niet stoppen met het zeggen van het "huis van de smid, houten mes") besloten ze de specialisten van Microsoft om hulp te vragen. Aangezien MSTIC in de voetsporen van Yttrium was getreden, enZe waren meteen wantrouwend tegenover de Russen, een diagnose die later werd bevestigd door de officiële Amerikaanse inlichtingendiensten.

Naarmate de dagen verstreken, bleken de aanvallen gericht te zijn op gevoelige computernetwerken over de hele wereld, waaronder Microsoft zelf. Volgens berichten in de media was de regering van de Verenigde Staten duidelijk het belangrijkste doelwit van de aanval, met tientallen getroffen organisaties op de lijst van slachtoffers. Dit zijn onder meer andere technologiebedrijven, overheidsaannemers, denktanks en een universiteit. De aanvallen waren niet alleen gericht tegen de Verenigde Staten, maar troffen ook Canada, het Verenigd Koninkrijk, België, Spanje, Israël en de Verenigde Arabische Emiraten. In sommige gevallen duurden penetraties in het netwerk enkele maanden.

De oorsprong

Het begon allemaal met netwerkbeheersoftware genaamd Orion en ontwikkeld door een bedrijf genaamd SolarWinds. Met meer dan 38000 zakelijke klanten op hoog niveau hoefden de aanvallers alleen een malware in een update in te voegen.

Eenmaal geïnstalleerd, is de malware verbonden met wat technisch bekend staat als een command and control (C2) -server. De C2 e-serverHet is geprogrammeerd om de aangesloten computer taken te geven, zoals de mogelijkheid om bestanden over te dragen, opdrachten uit te voeren, een machine opnieuw op te starten en systeemservices uit te schakelen. Met andere woorden, de Yttrium-agenten kregen volledige toegang tot het netwerk van degenen die de Orion-programma-update hadden geïnstalleerd.

Vervolgens ga ik een woordelijke paragraaf citeren uit het artikel van Smith

Het duurde niet lang voordat we ons realiseerden

het belang van technisch teamwork in de hele industrie en met de overheid
van de Verenigde Staten. Ingenieurs van SolarWinds, FireEye en Microsoft gingen direct samenwerken. De FireEye- en Microsoft-teams kenden elkaar goed, maar SolarWinds was een kleiner bedrijf dat met een grote crisis te maken had, en de teams moesten snel vertrouwen opbouwen om effectief te zijn.
De technici van SolarWinds hebben de broncode van hun update gedeeld met de beveiligingsteams van de andere twee bedrijven,
die de broncode van de malware zelf onthulde. Technische teams van de Amerikaanse overheid kwamen snel in actie, vooral bij de National Security Agency (NSA) en de Cybersecurity and Infrastructure Security Agency (CISA) van het Department of Homeland Security.

De hoogtepunten zijn van mij. Dat van teamwork en het delen van de broncode, klinkt dat niet als iets voor jou?

Na het openen van de achterdeur, de malware was twee weken inactief, om te voorkomen dat er netwerklogboekvermeldingen worden gemaakt die beheerders waarschuwen. PTijdens deze periode stuurde het informatie over het netwerk dat een command and control-server had geïnfecteerd. die de aanvallers hadden met de GoDaddy-hostingprovider.

Als de inhoud interessant was voor Yttrium, de aanvallers kwamen binnen via de achterdeur en installeerden extra code op de aangevallen server om verbinding te maken met een tweede commando- en controleserver. Deze tweede server, uniek voor elk slachtoffer om detectie te helpen ontwijken, werd geregistreerd en gehost in een tweede datacenter, vaak in de Amazon Web Services (AWS)-cloud.

Microsoft tegen SVR. het moreel

Als je wilt weten hoe onze helden hun schurken hebben gegeven wat ze verdienen, heb je in de eerste alinea's de links naar de bronnen. Ik ga meteen naar de reden waarom ik hierover schrijf op een Linux-blog. De confrontatie van Microsoft met de SVR toont aan hoe belangrijk het is dat de code beschikbaar is voor analyse en dat de kennis collectief is.

Het is waar, zoals een prestigieuze specialist op het gebied van computerbeveiliging me er vanmorgen aan herinnerde, dat het nutteloos is dat de code open is als niemand de moeite neemt om het te analyseren. Er is de Heartbleed-zaak om het te bewijzen. Maar laten we het samenvatten. 38000 high-end klanten hebben zich aangemeld voor propriëtaire software. Verschillende van hen installeerden een malware-update die gevoelige informatie blootlegde en controle gaf over vijandige elementen van kritieke infrastructuur. Het verantwoordelijke bedrijf hij heeft de code pas aan specialisten ter beschikking gesteld als hij met het water om zijn nek zat. Als softwareleveranciers voor kritieke infrastructuur en gevoelige klanten nodig waren Het vrijgeven van uw software met open licenties, aangezien het hebben van een interne code-auditor (of een extern bureau dat voor meerdere werkt) het risico op aanvallen zoals SolarWinds veel lager zou zijn.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   Tijdelijke afbeelding voor Diego Vallejo zei
    geleden Tot 3 jaar

    Nog niet zo lang geleden beschuldigde M $ iedereen die vrije software van communisten gebruikte, zoals in het ergste van het McCarthyisme.

    Reageer op Diego Vallejo