Mohol to byť román Toma Clancyho zo série NetForce, ale je to kniha napísal prezident Microsoftu Brad Smith na počesť seba a svojej spoločnosti. Každopádne, ak niekto číta medzi riadkami (aspoň v extrakt ku ktorému mal portál prístup) a oddeľuje potľapkávanie po chrbte a paličky od súťažiacich, to, čo zostáva, je veľmi zaujímavé a poučné. A podľa môjho skromného názoru ukážka výhod bezplatného softvéru a modelu s otvoreným zdrojovým kódom.
Postavy
Každý špionážny román potrebuje „zlého muža“ a v tomto prípade nemáme nič menšie ako SVR, jedna z organizácií, ktoré po rozpade ZSSR nasledovali KGB. SVR sa zaoberá všetkými spravodajskými úlohami vykonávanými mimo hraníc Ruskej federácie. „Nevinnou obeťou“ bola spoločnosť SolarWinds, ktorá vyvíja softvér na správu siete.Používajú ho veľké korporácie, manažéri kritickej infraštruktúry a vládne agentúry USA. Samozrejme, potrebujeme hrdinu. V tomto prípade ide podľa nich o oddelenie hrozieb spoločnosti Microsoft.
Ako by to mohlo byť inak, v príbehu hackerov majú „zlí“ a „dobrí“ prezývku. SVR je ytrium (ytrium). V spoločnosti Microsoft používajú menej bežné prvky periodickej tabuľky ako krycí názov pre možné zdroje hrozieb. Spravodajské oddelenie hrozieb je MSTIC pre jeho skratku v angličtine, aj keď ho vnútorne pre fonetickú podobnosť vyslovujú mysticky (mysticky). Ďalej budem pre zjednodušenie používať tieto výrazy.
Microsoft v. SVR. Fakty
30. novembra 2020 FireEye, jedna z hlavných spoločností v oblasti počítačovej bezpečnosti v USA, zisťuje, že došlo k narušeniu zabezpečenia na jej vlastných serveroch. Keďže to nedokázali sami opraviť (prepáčte, ale nemôžem prestať hovoriť o „dome kováča, drevenom noži“), rozhodli sa požiadať o pomoc špecialistov spoločnosti Microsoft. Pretože MSTIC kráčal v stopách Yttria, aRusom boli okamžite podozrievaví, diagnózu neskôr potvrdili aj oficiálne americké spravodajské služby.
Ako plynuli dni, zistilo sa, že útoky boli zamerané na citlivé počítačové siete po celom svete vrátane samotného Microsoftu. Podľa medializovaných informácií bola hlavným cieľom útoku jednoznačne vláda USA, pričom na zoznam obetí boli uvedené ministerstvo financií, ministerstvo zahraničia, ministerstvo obchodu, energetika a časti Pentagonu. Patria sem ďalšie technologické spoločnosti, vládni dodávatelia, think -tanky a univerzita. Útoky neboli zamerané iba proti USA, pretože zasiahli Kanadu, Spojené kráľovstvo, Belgicko, Španielsko, Izrael a Spojené arabské emiráty. V niektorých prípadoch prieniky do siete trvali niekoľko mesiacov.
Pôvod
Všetko to začalo softvérom na správu siete s názvom Orion a bol vyvinutý spoločnosťou SolarWinds. S viac ako 38000 XNUMX firemnými klientmi útočníci museli do aktualizácie vložiť iba škodlivý softvér.
Hneď po inštalácii sa malvér pripojí k serveru, ktorý je technicky známy ako príkazový a riadiaci server (C2). Server C2 eBol naprogramovaný tak, aby poskytoval pripojenému počítaču úlohy, ako je schopnosť prenášať súbory, vykonávať príkazy, reštartovať počítač a deaktivovať systémové služby. Inými slovami, agenti Yttrium získali plný prístup k sieti tých, ktorí si nainštalovali aktualizáciu programu Orion.
Ďalej budem citovať doslovný odsek zo Smithovho článku
Netrvalo dlho a uvedomili sme si to
dôležitosť technickej tímovej práce v celom odvetví a s vládouzo Spojených štátov. Inžinieri zo spoločností SolarWinds, FireEye a Microsoft začali okamžite spolupracovať. Tímy FireEye a Microsoft sa dobre poznali, ale SolarWinds bola menšia spoločnosť, ktorá čelí veľkej kríze, a aby boli tieto tímy efektívne, museli si rýchlo vybudovať dôveru.Inžinieri SolarWinds zdieľali zdrojový kód svojej aktualizácie s bezpečnostnými tímami ostatných dvoch spoločností,ktorý odhalil zdrojový kód samotného malwaru. Technické tímy z vlády USA rýchlo vyrazili do akcie, najmä v Národnej bezpečnostnej agentúre (NSA) a Agentúre pre bezpečnosť kybernetickej bezpečnosti a infraštruktúry (CISA) ministerstva pre vnútornú bezpečnosť.
Hlavné body sú moje. Tímová práca a zdieľanie zdrojového kódu. Neznie vám to ako niečo?
Po otvorení zadných dverí, malvér bol dva týždne neaktívny, aby sa zabránilo vytváraniu záznamov v sieťovom protokole, ktoré budú správcov upozorňovať. PPočas tohto obdobia odoslal informácie o sieti, ktorá infikovala príkazový a riadiaci server. ktoré mali útočníci s poskytovateľom hostingu GoDaddy.
Ak bol obsah pre Yttrium zaujímavý, útočníci vstúpili zadnými dverami a na napadnutý server nainštalovali ďalší kód na pripojenie k druhému príkazovému a riadiacemu serveru. Tento druhý server, ktorý bol pre každú obeť jedinečný, aby pomohol vyhnúť sa odhaleniu, bol zaregistrovaný a hostený v druhom dátovom centre, často v cloude Amazon Web Services (AWS).
Microsoft v. SVR. Morálka
Ak vás zaujíma, ako naši hrdinovia dali svojim darebákom to, čo si zaslúžia, v prvých odsekoch máte odkazy na zdroje. Prejdem rovno k tomu, prečo o tom píšem na blogu o Linuxe. Konfrontácia spoločnosti Microsoft so SVR ukazuje, že je dôležité, aby bol kód dostupný na analýzu a aby boli znalosti kolektívne.
Je pravda, ako mi dnes ráno pripomenul prestížny odborník na počítačovú bezpečnosť, že je zbytočné otvárať kód, ak si nikto nedáva námahu analyzovať ho. Dokazuje to prípad Heartbleed. Ale, zrekapitulujme si to. K patentovanému softvéru sa prihlásilo 38000 XNUMX špičkových zákazníkov. Niekoľko z nich nainštalovalo aktualizáciu škodlivého softvéru, ktorá odhalila citlivé informácie a poskytla kontrolu nad nepriateľskými prvkami kritickej infraštruktúry. Zodpovedná spoločnosť Špecialistom sprístupnil kód len vtedy, keď bol s vodou na krku. Ak by sa vyžadovali dodávatelia softvéru pre kritickú infraštruktúru a citlivých zákazníkov Uvoľnenie softvéru s otvorenými licenciami, pretože v prípade prítomnosti rezidentného audítora kódu (alebo externej agentúry pracujúcej pre viacerých), bude riziko útokov, ako je SolarWinds, oveľa nižšie.
Nie je to tak dávno, M $ obvinil všetkých, ktorí používali slobodný softvér komunistov, ako v najhoršom prípade mccarthizmu.