NetForce serisinden bir Tom Clancy romanı olabilirdi ama bu bir kitap Microsoft Başkanı Brad Smith tarafından kendisini ve şirketini anmak için yazılmıştır. Her neyse, satır aralarını okursanız (en azından Özet bir portalın erişime sahip olduğu) ve arkadaki öz patları ve rakiplere çubukları ayırır, geriye kalan çok ilginç ve öğretici. Ve benim düşünceme göre, özgür ve açık kaynaklı yazılım modelinin avantajlarından bir örnek.
Karakterler
Her casus romanının bir "kötü adama" ihtiyacı vardır ve bu durumda SVR'den daha azına sahip değiliz, SSCB'nin dağılmasından sonra KGB'nin yerini alan örgütlerden biri. SVR, Rusya Federasyonu sınırları dışında yürütülen tüm istihbarat görevleriyle ilgilenir. "Masum kurban", ağ yönetim yazılımı geliştiren SolarWinds şirketiydi.Büyük şirketler, kritik altyapı yöneticileri ve ABD devlet kurumları tarafından kullanılır. Elbette bir kahramana ihtiyacımız var. Bu durumda kendilerine göre Microsoft'un Tehdit İstihbarat Departmanı'dır.
Başka türlü nasıl olabilirdi ki, bir hacker hikayesinde "kötü" ve "iyi"nin bir takma adı vardır. SVR, Yttrium'dur (Yttrium). Microsoft'ta, olası tehdit kaynakları için kod adı olarak periyodik tablonun daha az yaygın öğelerini kullanırlar. Tehdit İstihbarat Departmanı MSTIC'dir İngilizce kısaltması için kullanılır, ancak dahili olarak fonetik benzerlik için mistik (mistik) olarak telaffuz edilir. Bundan sonra kolaylık olması açısından bu terimleri kullanacağım.
Microsoft ve SVR. Gerçekler
30 Kasım 2020'de ABD'deki ana bilgisayar güvenlik şirketlerinden biri olan FireEye, kendi sunucularında bir güvenlik ihlaline maruz kaldığını keşfeder. Kendileri tamir edemedikleri için (üzgünüm ama "demirci evi, tahta bıçak" demeden duramıyorum) Microsoft uzmanlarından yardım istemeye karar verdiler. MSTIC, Yttrium'un ayak izlerini takip ettiğinden veDaha sonra resmi ABD istihbarat servisleri tarafından doğrulanan bir teşhis olan Ruslardan hemen şüphelendiler.
Günler geçtikçe, saldırıların Microsoft'un kendisi de dahil olmak üzere dünya çapındaki hassas bilgisayar ağlarını hedef aldığı tespit edildi. Basında çıkan haberlere göre, ABD hükümeti, Hazine Bakanlığı, Dışişleri Bakanlığı, Ticaret Bakanlığı, Enerji Bakanlığı ve Pentagon'un bazı bölümleriyle birlikte saldırının ana hedefiydi. Bunlara diğer teknoloji şirketleri, devlet müteahhitleri, düşünce kuruluşları ve bir üniversite dahildir. Saldırılar Kanada, Birleşik Krallık, Belçika, İspanya, İsrail ve Birleşik Arap Emirlikleri'ni etkilediği için yalnızca ABD'ye yönelik değildi. Bazı durumlarda, ağa girişler birkaç ay sürmüştür.
Kökeni
Her şey Orion adlı ağ yönetim yazılımıyla başladı ve SolarWinds adlı bir şirket tarafından geliştirildi. 38000'den fazla kurumsal müşteri ile üst düzey, saldırganların yalnızca bir güncellemeye kötü amaçlı yazılım eklemesi gerekiyordu.
Kötü amaçlı yazılım yüklendikten sonra teknik olarak komuta ve kontrol (C2) sunucusu olarak bilinen sunucuya bağlanır. C2 e sunucusuDosyaları aktarma, komutları yürütme, bir makineyi yeniden başlatma ve sistem hizmetlerini devre dışı bırakma gibi bağlı bilgisayar görevlerini vermek üzere programlandı. Başka bir deyişle, Yttrium ajanları, Orion program güncellemesini kuranların ağına tam erişim elde etti.
Sonra Smith'in makalesinden kelimesi kelimesine bir paragraf alıntılayacağım
fark etmemiz uzun sürmedi
endüstri genelinde ve hükümetle teknik ekip çalışmasının önemiBirleşik devletlerden. SolarWinds, FireEye ve Microsoft'tan mühendisler hemen birlikte çalışmaya başladılar. FireEye ve Microsoft ekipleri birbirini iyi tanıyordu, ancak SolarWinds büyük bir krizle karşı karşıya olan daha küçük bir şirketti ve etkili olmaları için ekiplerin hızla güven oluşturması gerekiyordu.SolarWinds mühendisleri, güncellemelerinin kaynak kodunu diğer iki şirketin güvenlik ekipleriyle paylaştı,bu da kötü amaçlı yazılımın kaynak kodunu ortaya çıkardı. ABD hükümeti teknik ekipleri, özellikle Ulusal Güvenlik Ajansı'nda (NSA) ve İç Güvenlik Bakanlığı'nın Siber Güvenlik ve Altyapı Güvenlik Ajansı'nda (CISA) hızla harekete geçti.
Öne çıkanlar benim. Ekip çalışması ve kaynak kodu paylaşmak size de bir şey gibi gelmiyor mu?
Arka kapıyı açtıktan sonra, kötü amaçlı yazılım iki hafta boyunca etkin değildi, yöneticileri uyaracak ağ günlüğü girişleri oluşturmaktan kaçınmak için. PBu süre zarfında, bir komuta ve kontrol sunucusuna bulaşan ağ hakkında bilgi gönderdi. Saldırganların GoDaddy barındırma sağlayıcısında sahip oldukları.
İçerik Yttrium için ilginçse, saldırganlar arka kapıdan girdi ve ikinci bir komuta ve kontrol sunucusuna bağlanmak için saldırıya uğrayan sunucuya ek kod yükledi. Tespitten kaçınmaya yardımcı olmak için her kurban için benzersiz olan bu ikinci sunucu, genellikle Amazon Web Hizmetleri (AWS) bulutunda ikinci bir veri merkezinde kaydedildi ve barındırıldı.
Microsoft ve SVR. moral
Kahramanlarımızın kötü adamlarına hak ettiklerini nasıl verdiğini merak ediyorsanız, ilk paragraflarda kaynaklara bağlantılar bulabilirsiniz. Bunu neden bir Linux blogunda yazdığıma hemen atlayacağım. Microsoft'un SVR ile yüzleşmesi, analiz edilebilecek kodun önemini ve bilginin kolektif olduğunu göstermektedir.
Prestijli bir bilgisayar güvenliği uzmanının bu sabah bana hatırlattığı gibi, kimse onu analiz etme zahmetine katlanmazsa, kodun açık olmasının faydasız olduğu doğru. Bunu kanıtlayacak Heartbleed davası var. Ama tekrar edelim. 38000 üst düzey müşteri tescilli yazılım için kaydoldu. Birçoğu, hassas bilgileri açığa çıkaran ve kritik altyapının düşmanca öğelerine kontrol sağlayan bir kötü amaçlı yazılım güncellemesi yükledi. sorumlu şirket kodu sadece boynunda su varken uzmanlara sundu. Kritik altyapı ve hassas müşteriler için yazılım satıcıları gerekliyse Yazılımınızı açık lisanslarla serbest bırakmak, yerleşik bir kod denetçisine (veya birkaç kişi için çalışan harici bir ajansa) sahip olduğunuzdan, SolarWinds gibi saldırı riski çok daha düşük olacaktır.
Çok uzun zaman önce, M $, McCarthyciliğin en kötüsünde olduğu gibi, komünistlerin özgür yazılımını kullanan herkesi suçladı.