ไมโครซอฟท์ กับ SVR ทำไมโอเพ่นซอร์สจึงควรเป็นบรรทัดฐาน

อาจเป็นนวนิยายของ Tom Clancy จากซีรี่ส์ NetForce แต่ มันคือหนังสือ เขียนโดย Brad Smith ประธานบริษัท Microsoft เพื่อเป็นเกียรติแก่ตัวเขาเองและบริษัทของเขา อย่างไรก็ตาม ถ้าใครอ่านระหว่างบรรทัด (อย่างน้อยใน สารสกัด ซึ่งพอร์ทัลสามารถเข้าถึงได้) และแยกการตบตัวเองที่ด้านหลังและไม้เท้าของคู่แข่ง สิ่งที่เหลืออยู่นั้นน่าสนใจมากและให้ความรู้ และตามความเห็นของฉัน ตัวอย่างข้อดีของซอฟต์แวร์เสรีและโมเดลโอเพ่นซอร์ส

อักขระ

นวนิยายสายลับทุกเล่มต้องการ "คนเลว" และในกรณีนี้ เราไม่มีอะไรมากไปกว่า SVR หนึ่งในองค์กรที่ประสบความสำเร็จใน KGB หลังจากการล่มสลายของสหภาพโซเวียต SVR เกี่ยวข้องกับงานข่าวกรองทั้งหมดที่ดำเนินการนอกพรมแดนของสหพันธรัฐรัสเซีย "เหยื่อผู้บริสุทธิ์" คือ SolarWinds บริษัทที่พัฒนาซอฟต์แวร์การจัดการเครือข่ายใช้โดยองค์กรขนาดใหญ่ ผู้จัดการโครงสร้างพื้นฐานที่สำคัญ และหน่วยงานรัฐบาลสหรัฐฯ แน่นอนว่าเราต้องการฮีโร่ ในกรณีนี้ตามตัวมันเป็นแผนก Threat Intelligence ของ Microsoft

มันจะเป็นอย่างอื่นได้อย่างไรในเรื่องแฮ็กเกอร์ "เลว" และ "ดี" มีนามแฝง SVR คือ อิตเทรียม (อิตเทรียม) ที่ Microsoft พวกเขาใช้องค์ประกอบทั่วไปน้อยกว่าของตารางธาตุเป็นชื่อรหัสสำหรับแหล่งที่มาของภัยคุกคาม แผนกข่าวกรองภัยคุกคามคือ MSTIC สำหรับตัวย่อในภาษาอังกฤษ แม้ว่าภายในพวกเขาจะออกเสียงว่าลึกลับ (ลึกลับ) สำหรับความคล้ายคลึงกันของสัทศาสตร์ ต่อไปนี้ เพื่อความสะดวก ฉันจะใช้ข้อกำหนดเหล่านี้

ไมโครซอฟท์ กับ SVR ข้อเท็จจริง

เมื่อวันที่ 30 พฤศจิกายน 2020 FireEye หนึ่งในบริษัทรักษาความปลอดภัยคอมพิวเตอร์หลักในสหรัฐฯ พบว่ามีการละเมิดความปลอดภัยในเซิร์ฟเวอร์ของตัวเอง เนื่องจากพวกเขาไม่สามารถแก้ไขได้ด้วยตนเอง (ขออภัย แต่ฉันไม่สามารถหยุดพูดว่า "บ้านของช่างตีเหล็ก มีดไม้") พวกเขาจึงตัดสินใจขอความช่วยเหลือจากผู้เชี่ยวชาญของ Microsoft เนื่องจาก MSTIC ได้เดินตามรอยเท้าของ Yttrium และพวกเขาสงสัยชาวรัสเซียในทันที การวินิจฉัยภายหลังได้รับการยืนยันโดยหน่วยข่าวกรองอย่างเป็นทางการของสหรัฐฯ

เมื่อเวลาผ่านไป พบว่าการโจมตีมุ่งเป้าไปที่เครือข่ายคอมพิวเตอร์ที่ละเอียดอ่อนทั่วโลก รวมถึง Microsoft เองด้วย ตามรายงานของสื่อ รัฐบาลสหรัฐฯ เห็นได้ชัดว่าเป็นเป้าหมายหลักของการโจมตี โดยมีกระทรวงการคลัง กระทรวงการต่างประเทศ กระทรวงพาณิชย์ กระทรวงพลังงาน และบางส่วนของเพนตากอน องค์กรที่ได้รับผลกระทบหลายสิบแห่งรวมรายชื่อเหยื่อ ซึ่งรวมถึงบริษัทเทคโนโลยีอื่นๆ ผู้รับเหมาของรัฐบาล Think Tank และมหาวิทยาลัย การโจมตีดังกล่าวไม่เพียงแต่มุ่งโจมตีสหรัฐฯ เท่านั้น แต่ยังส่งผลกระทบต่อแคนาดา สหราชอาณาจักร เบลเยียม สเปน อิสราเอล และสหรัฐอาหรับเอมิเรตส์ ในบางกรณี การเจาะเข้าไปในเครือข่ายกินเวลาหลายเดือน

ที่มา

ทุกอย่างเริ่มต้นด้วยซอฟต์แวร์การจัดการเครือข่ายชื่อ Orion และพัฒนาโดยบริษัทชื่อ SolarWinds ด้วยลูกค้าองค์กรมากกว่า 38000 ราย ผู้โจมตีระดับสูงต้องแทรกมัลแวร์ในการอัปเดตเท่านั้น

เมื่อติดตั้งแล้ว มัลแวร์จะเชื่อมต่อกับสิ่งที่เรียกว่าเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) เซิร์ฟเวอร์ C2 eมันถูกตั้งโปรแกรมเพื่อให้งานคอมพิวเตอร์ที่เชื่อมต่อ เช่น ความสามารถในการถ่ายโอนไฟล์ รันคำสั่ง รีบูตเครื่อง และปิดใช้งานบริการของระบบ กล่าวอีกนัยหนึ่งตัวแทน Yttrium สามารถเข้าถึงเครือข่ายของผู้ที่ติดตั้งโปรแกรมอัปเดต Orion ได้อย่างสมบูรณ์

ต่อไปฉันจะอ้างอิงย่อหน้าต่อคำจากบทความของ Smith

เราใช้เวลาไม่นานก็รู้

ความสำคัญของการทำงานเป็นทีมด้านเทคนิคในอุตสาหกรรมและกับภาครัฐ

จากประเทศสหรัฐอเมริกา วิศวกรจาก SolarWinds, FireEye และ Microsoft เริ่มทำงานร่วมกันทันที ทีม FireEye และ Microsoft รู้จักกันดี แต่ SolarWinds เป็นบริษัทขนาดเล็กที่ต้องเผชิญกับวิกฤตครั้งใหญ่ และทีมต้องสร้างความไว้วางใจอย่างรวดเร็วหากพวกเขาต้องทำงานอย่างมีประสิทธิภาพ

วิศวกรของ SolarWinds ได้แชร์ซอร์สโค้ดของการอัปเดตกับทีมรักษาความปลอดภัยของอีกสองบริษัท

ซึ่งเปิดเผยซอร์สโค้ดของมัลแวร์เอง ทีมเทคนิคจากรัฐบาลสหรัฐเริ่มดำเนินการอย่างรวดเร็ว โดยเฉพาะอย่างยิ่งที่สำนักงานความมั่นคงแห่งชาติ (NSA) และสำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของกระทรวงความมั่นคงแห่งมาตุภูมิ

ไฮไลท์เป็นของฉัน ของการทำงานเป็นทีมและการแชร์ซอร์สโค้ด ฟังดูไม่เข้าท่าสำหรับคุณเหรอ?

หลังจากเปิดประตูหลัง มัลแวร์ไม่ได้ใช้งานเป็นเวลาสองสัปดาห์ เพื่อหลีกเลี่ยงการสร้างรายการบันทึกเครือข่ายที่จะแจ้งเตือนผู้ดูแลระบบ NSในช่วงเวลานี้ มันส่งข้อมูลเกี่ยวกับเครือข่ายที่ติดไวรัสเซิร์ฟเวอร์คำสั่งและการควบคุม ที่ผู้โจมตีมีกับผู้ให้บริการโฮสติ้ง GoDaddy

หากเนื้อหาน่าสนใจสำหรับอิตเทรียม ผู้โจมตีเข้ามาทางประตูหลังและติดตั้งรหัสเพิ่มเติมบนเซิร์ฟเวอร์ที่ถูกโจมตีเพื่อเชื่อมต่อกับคำสั่งที่สองและเซิร์ฟเวอร์ควบคุม. เซิร์ฟเวอร์ที่สองนี้ เฉพาะสำหรับเหยื่อแต่ละรายเพื่อช่วยหลบเลี่ยงการตรวจจับ ได้รับการลงทะเบียนและโฮสต์ในศูนย์ข้อมูลแห่งที่สอง ซึ่งมักจะอยู่ในระบบคลาวด์ของ Amazon Web Services (AWS)

ไมโครซอฟท์ กับ SVR ขวัญกำลังใจ

หากคุณสนใจที่จะรู้ว่าฮีโร่ของเรามอบสิ่งที่พวกเขาสมควรได้รับให้คนร้ายในย่อหน้าแรกคุณมีลิงก์ไปยังแหล่งที่มา ฉันจะข้ามไปที่สาเหตุที่ฉันเขียนเกี่ยวกับเรื่องนี้ในบล็อก Linux การเผชิญหน้าของ Microsoft กับ SVR แสดงให้เห็นถึงความสำคัญของรหัสที่สามารถวิเคราะห์ได้ และความรู้นั้นเป็นแบบส่วนรวม

เป็นความจริงตามที่ผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์ที่มีชื่อเสียงเตือนฉันเมื่อเช้านี้ว่ารหัสที่จะเปิดนั้นไม่มีประโยชน์หากไม่มีใครวิเคราะห์ปัญหา มีคดี Heartbleed ที่ต้องพิสูจน์ แต่ขอสรุป ลูกค้าระดับไฮเอนด์ 38000 รายลงทะเบียนสำหรับซอฟต์แวร์ที่เป็นกรรมสิทธิ์. หลายคนติดตั้งการอัปเดตมัลแวร์ที่เปิดเผยข้อมูลที่ละเอียดอ่อนและให้การควบคุมองค์ประกอบที่ไม่เป็นมิตรของโครงสร้างพื้นฐานที่สำคัญ บริษัทที่รับผิดชอบ เขาทำรหัสให้ผู้เชี่ยวชาญได้ก็ต่อเมื่อเขาเอาน้ำมาคล้องคอ. หากจำเป็นต้องมีผู้จำหน่ายซอฟต์แวร์สำหรับโครงสร้างพื้นฐานที่สำคัญและลูกค้าที่มีความละเอียดอ่อน การปล่อยซอฟต์แวร์ของคุณด้วยใบอนุญาตแบบเปิด เนื่องจากการมีผู้ตรวจสอบรหัสประจำถิ่น (หรือหน่วยงานภายนอกที่ทำงานให้กับหลาย ๆ แห่ง) ความเสี่ยงของการโจมตีเช่น SolarWinds จะต่ำกว่ามาก