Microsoft kontra SVR. Dlaczego open source powinno być normą?

Diego Germán González

6 minut

Microsoft kontra SVR

Mogła to być powieść Toma Clancy'ego z serii NetForce, ale to jest książka napisany przez prezesa Microsoftu, Brada Smitha, w hołdzie sobie i jego firmie. W każdym razie, jeśli ktoś czyta między wierszami (przynajmniej w ekstrakt do którego portal miał dostęp) i oddziela klepnięcia po plecach i kijach od zawodników, to, co pozostaje, jest bardzo interesujące i pouczające. I, moim skromnym zdaniem, próbka zalet wolnego oprogramowania i modelu open source.

Postacie

Każda powieść szpiegowska potrzebuje „złego faceta”, a w tym przypadku nie mamy nic innego niż SVR, jedna z organizacji, które zastąpiły KGB po rozpadzie ZSRR. SWR zajmuje się wszystkimi zadaniami wywiadowczymi realizowanymi poza granicami Federacji Rosyjskiej. „Niewinną ofiarą” była firma SolarWinds, która rozwija oprogramowanie do zarządzania siecią.Jest używany przez duże korporacje, zarządców infrastruktury krytycznej i agencje rządowe USA. Oczywiście potrzebujemy bohatera. W tym przypadku, według nich, jest to Departament Analizy Zagrożeń Microsoftu.

Jak mogłoby być inaczej, w historii hakerskiej „złe” i „dobre” mają pseudonimy. SVR to itr (itr). W firmie Microsoft używają mniej popularnych elementów układu okresowego jako nazwy kodowej możliwych źródeł zagrożeń. Departament Wywiadu Zagrożeń to MSTIC dla jego akronimu w języku angielskim, chociaż wewnętrznie wymawiają go mistic (mystic) dla podobieństwa fonetycznego. W dalszej części, dla wygody, będę używał tych terminów.

Microsoft kontra SVR. Fakty

30 listopada 2020 r. FireEye, jedna z głównych firm zajmujących się bezpieczeństwem komputerowym w USA, odkrywa, że ​​doznała naruszenia bezpieczeństwa na swoich własnych serwerach. Ponieważ nie byli w stanie sami tego naprawić (przepraszam, ale nie mogę przestać mówić „dom kowala, drewniany nóż”) postanowili poprosić o pomoc specjalistów Microsoftu. Odkąd MSTIC podążał śladami itru, iNatychmiast byli podejrzliwi wobec Rosjan, diagnoza została później potwierdzona przez oficjalne służby wywiadowcze USA.

W miarę upływu czasu okazało się, że ataki były wymierzone w wrażliwe sieci komputerowe na całym świecie, w tym sam Microsoft. Według doniesień medialnych, rząd Stanów Zjednoczonych był wyraźnie głównym celem ataku, z Departamentem Skarbu, Departamentem Stanu, Departamentem Handlu, Departamentem Energii i częściami Pentagonu. Należą do nich inne firmy technologiczne, kontrahenci rządowi, think tanki i uniwersytet. Ataki były skierowane nie tylko przeciwko Stanom Zjednoczonym, ponieważ dotknęły Kanadę, Wielką Brytanię, Belgię, Hiszpanię, Izrael i Zjednoczone Emiraty Arabskie. W niektórych przypadkach penetracje sieci trwały kilka miesięcy.

Pochodzenie

Wszystko zaczęło się od oprogramowania do zarządzania siecią o nazwie Orion i opracowanego przez firmę SolarWinds. Z ponad 38000 XNUMX klientami korporacyjnymi na wysokim poziomie, atakujący musieli jedynie wstawić złośliwe oprogramowanie do aktualizacji.

Po zainstalowaniu złośliwe oprogramowanie łączyło się z serwerem technicznie znanym jako serwer dowodzenia i kontroli (C2). Serwer C2 eZostał zaprogramowany, aby dawać podłączonemu komputerowi zadania, takie jak możliwość przesyłania plików, wykonywania poleceń, ponownego uruchamiania komputera i wyłączania usług systemowych. Innymi słowy, agenci itru uzyskali pełny dostęp do sieci tych, którzy zainstalowali aktualizację programu Orion.

Następnie zacytuję dosłowny akapit z artykułu Smitha

Nie zajęło nam dużo czasu, aby się zorientować

znaczenie technicznej pracy zespołowej w przemyśle i z rządem
ze Stanów Zjednoczonych. Inżynierowie z SolarWinds, FireEye i Microsoft natychmiast rozpoczęli współpracę. Zespoły FireEye i Microsoft dobrze się znały, ale SolarWinds było mniejszą firmą, która stanęła w obliczu poważnego kryzysu, a zespoły musiały szybko zbudować zaufanie, jeśli miały być skuteczne.
Inżynierowie SolarWinds udostępnili kod źródłowy swojej aktualizacji zespołom bezpieczeństwa pozostałych dwóch firm,
który ujawnił kod źródłowy samego złośliwego oprogramowania. Zespoły techniczne z rządu USA szybko przystąpiły do ​​działania, zwłaszcza w Agencji Bezpieczeństwa Narodowego (NSA) oraz Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) Departamentu Bezpieczeństwa Wewnętrznego.

Najważniejsze są moje. Praca zespołowa i udostępnianie kodu źródłowego. Czy to nie brzmi jak coś dla Ciebie?

Po otwarciu tylnych drzwi szkodliwe oprogramowanie było nieaktywne przez dwa tygodnie, aby uniknąć tworzenia wpisów w dzienniku sieci, które będą ostrzegać administratorów. PW tym okresie wysłał informacje o sieci, która zainfekowała serwer dowodzenia i kontroli. które atakujący mieli z dostawcą hostingu GoDaddy.

Jeśli zawartość była interesująca dla itru, atakujący weszli tylnymi drzwiami i zainstalowali dodatkowy kod na zaatakowanym serwerze, aby połączyć się z drugim serwerem dowodzenia i kontroli. Ten drugi serwer, unikalny dla każdej ofiary, aby uniknąć wykrycia, został zarejestrowany i hostowany w drugim centrum danych, często w chmurze Amazon Web Services (AWS).

Microsoft kontra SVR. Morale

Jeśli chcesz wiedzieć, w jaki sposób nasi bohaterowie dali swoim złoczyńcom to, na co zasłużyli, w pierwszych akapitach masz linki do źródeł. Przejdę od razu do tego, dlaczego piszę o tym na blogu o Linuksie. Konfrontacja Microsoftu z SVR pokazuje, jak ważny jest kod dostępny do analizy i że wiedza jest zbiorowa.

Prawdą jest, jak przypomniał mi dziś rano prestiżowy specjalista ds. bezpieczeństwa komputerowego, że otwieranie kodu jest bezużyteczne, jeśli nikt nie zadaje sobie trudu, aby go przeanalizować. Na dowód tego jest przypadek Heartbleed. Ale podsumujmy. 38000 XNUMX klientów z najwyższej półki zarejestrowało się w celu korzystania z oprogramowania zastrzeżonego. Kilku z nich zainstalowało aktualizację złośliwego oprogramowania, która ujawniła poufne informacje i dała kontrolę nad wrogimi elementami infrastruktury krytycznej. Odpowiedzialna firma Udostępnił kod specjalistom tylko wtedy, gdy był z wodą na szyi. Gdyby potrzebni byli dostawcy oprogramowania dla infrastruktury krytycznej i wrażliwych klientów Wypuszczanie oprogramowania z otwartymi licencjami, ponieważ mając stałego audytora kodu (lub zewnętrzną agencję pracującą dla kilku osób) ryzyko ataków takich jak SolarWinds byłoby znacznie niższe.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Symbol zastępczy dla Diego Vallejo powiedział
    temu 3 roku

    Nie tak dawno temu M $ oskarżał wszystkich, którzy używali wolnego oprogramowania komunistów, jak w najgorszym maccartyzmie.

    Odpowiedz Diego Vallejo