Майкрософт проти SVR. Чому відкритим вихідним кодом має бути норма

Це міг бути роман Тома Кленсі з серії NetForce, але це книга написано президентом Microsoft Бредом Смітом у знак вшанування себе та своєї компанії. У всякому разі, якщо читати між рядками (принаймні у екстракт до якого мав доступ портал) і розділяє власні погладжування по спині та палиці до конкурентів, що залишається дуже цікавим і повчальним. І, на мій скромний погляд, зразок переваг безкоштовного програмного забезпечення та моделі з відкритим кодом.

Персонажі

Кожному шпигунському роману потрібен "поганий хлопець", і в цьому випадку ми маємо не менше ніж SVR, одна з організацій, що змінили КДБ після розпаду СРСР. СВР займається усіма розвідувальними завданнями, що виконуються за кордоном Російської Федерації. "Невинною жертвою" стала компанія SolarWinds, яка розробляє програмне забезпечення для управління мережею.Його використовують великі корпорації, менеджери з критичної інфраструктури та державні установи США. Звісно, ​​нам потрібен герой. У цьому випадку, за їх словами, це відділ розвідки загроз Microsoft.

Як могло бути інакше, в історії хакерів "поганий" і "хороший" мають псевдонім. SVR - це ітрій (ітрій). У Microsoft вони використовують менш поширені елементи періодичної таблиці як кодове ім’я для можливих джерел загроз. Департамент розвідки загроз - MSTIC для його абревіатури в англійській мові, хоча внутрішньо вони проголошують його містичним (містичним) за фонетичну подібність. Далі для зручності я буду використовувати ці терміни.

Майкрософт проти SVR. Факти

30 листопада 2020 року FireEye, одна з головних компаній з комп’ютерної безпеки в США, виявляє, що зазнала порушення безпеки на власних серверах. Оскільки вони не змогли виправити це самостійно (вибачте, але я не можу перестати говорити "будинок коваля, дерев'яний ніж"), вони вирішили попросити допомоги у фахівців Microsoft. Оскільки MSTIC пішов слідами ітрію, іВони одразу поставилися підозріло до росіян, пізніше діагноз підтвердили офіційні спецслужби США.

З плином днів виявилося, що атаки націлені на чутливі комп'ютерні мережі по всьому світу, включаючи саму Microsoft. Згідно із повідомленнями ЗМІ, головним об’єктом нападу явно був уряд Сполучених Штатів, де Міністерство фінансів, Державний департамент, Міністерство комерції, Департамент енергетики та частини Пентагону. Десятки постраждалих організацій потрапили до списку жертв. До них належать інші технологічні компанії, урядові підрядники, аналітичні центри та університет. Напади були спрямовані не тільки проти Сполучених Штатів Америки, оскільки вони вразили Канаду, Велику Британію, Бельгію, Іспанію, Ізраїль та Об’єднані Арабські Емірати. У деяких випадках проникнення в мережу тривало кілька місяців.

Походження

Все почалося з програмного забезпечення для управління мережею під назвою Orion і розробленого компанією під назвою SolarWinds. Маючи понад 38000 XNUMX корпоративних клієнтів високого рівня, зловмисникам залишалося лише вставити шкідливе програмне забезпечення в оновлення.

Після встановлення зловмисне програмне забезпечення підключається до сервера командного управління (С2). Сервер C2 eВін був запрограмований для надання підключеному комп'ютеру таких завдань, як можливість передавати файли, виконувати команди, перезавантажувати машину та вимикати системні послуги. Іншими словами, агенти Yttrium отримали повний доступ до мережі тих, хто встановив оновлення програми Orion.

Далі я збираюся процитувати дослівний абзац зі статті Сміта

Ми не дуже довго усвідомлювали це

важливість технічної командної роботи у всій галузі та з урядом

з США. Інженери з SolarWinds, FireEye та Microsoft одразу почали працювати разом. Команди FireEye та Microsoft добре знали один одного, але SolarWinds була меншою компанією, яка зіткнулася з серйозною кризою, і, щоб досягти ефективності, командам довелося швидко вибудовувати довіру.

Інженери SolarWinds поділилися вихідним кодом свого оновлення з командами безпеки двох інших компаній,

який розкрив вихідний код самої шкідливої ​​програми. Технічні групи уряду США швидко почали діяти, особливо в Агентстві національної безпеки (АНБ) та Агенції з кібербезпеки та безпеки інфраструктури (CISA) Департаменту внутрішньої безпеки.

Основні мої мої. Це спільна робота та спільний доступ до вихідного коду. Вам це не здається чимось схожим?

Відкривши задні двері, зловмисне програмне забезпечення було неактивним протягом двох тижнів, щоб уникнути створення записів журналу мережі, які попередить адміністраторів. СторПротягом цього періоду він надсилав інформацію про мережу, яка заразила сервер команд та управління. що зловмисники мали у хостинг -провайдера GoDaddy.

Якби вміст був цікавий Ітрію, зловмисники увійшли через задні двері та встановили додатковий код на атакованому сервері для підключення до другого сервера команд та управління. Цей другий сервер, унікальний для кожної жертви, щоб уникнути виявлення, був зареєстрований і розміщений у другому центрі обробки даних, часто в хмарі Amazon Web Services (AWS).

Майкрософт проти SVR. Моральний дух

Якщо вам цікаво дізнатися, як наші герої дали своїм лиходіям те, на що вони заслуговують, у перших абзацах ви маєте посилання на джерела. Я збираюся перейти до того, чому я пишу про це у блозі Linux. Протистояння Microsoft із SVR демонструє важливість того, що код доступний для аналізу, і що знання є колективними.

Це правда, як нагадував мені сьогодні вранці престижний фахівець з комп’ютерної безпеки, що марно відкривати код, якщо ніхто не потрудиться його проаналізувати. Існує випадок Heartbleed, який це підтверджує. Але, підведемо підсумок. 38000 XNUMX висококласних клієнтів підписалися на фірмове програмне забезпечення. Деякі з них встановили оновлення шкідливого програмного забезпечення, яке відкривало конфіденційну інформацію та дало контроль ворожим елементам критичної інфраструктури. Відповідальна компанія Він надав код спеціалістам лише тоді, коли він був з водою на шиї. Якщо потрібні постачальники програмного забезпечення для критичної інфраструктури та чутливі клієнти Випуск вашого програмного забезпечення з відкритими ліцензіями, оскільки наявність аудитора коду -резидента (або зовнішнього агентства, що працює протягом кількох), ризик таких атак, як SolarWinds, буде значно нижчим.