微软诉 SVR。 为什么开源应该成为常态

它可能是 NetForce 系列中的汤姆克兰西小说，但是 这是一本书 由微软总裁布拉德·史密斯 (Brad Smith) 撰写，向他本人和他的公司致敬。 无论如何，如果有人在两行之间阅读（至少在 提取物 门户可以访问）并将自己拍在背部和棍子上与竞争对手分开， 剩下的非常有趣和有启发性。 而且，以我的拙见，免费软件和开源模型的优势示例。

性格

每部间谍小说都需要一个“坏人”，在这种情况下，我们只有 SVR， 苏联解体后接替克格勃的组织之一。 SVR 处理在俄罗斯联邦边界以外执行的所有情报任务。 “无辜的受害者”是开发网络管理软件的公司 SolarWinds。它被大型公司、关键基础设施经理和美国政府机构使用。 当然，我们需要一个英雄。 在这种情况下，根据他们自己的说法，是微软的威胁情报部门。

不然怎么可能，在黑客故事中，“坏”和“好”有别名。 SVR 是钇（Yttrium）。 在 Microsoft，他们使用元素周期表中不太常见的元素作为可能的威胁来源的代号。 威胁情报部门是 MSTIC 因为它在英语中的首字母缩略词，尽管在内部他们将其发音为 mystic (mystic)，因为语音相似。 在下文中，为方便起见，我将使用这些术语。

微软诉 SVR。 事实

30 年 2020 月 XNUMX 日，美国主要的计算机安全公司之一 FireEye 发现自己的服务器遭遇了安全漏洞。 由于他们无法自己修复它（对不起，但我不能停止说“铁匠的房子，木刀”）他们决定向微软的专家寻求帮助。 由于 MSTIC 一直跟随 Yttrium 的脚步，并且他们立即对俄罗斯人产生了怀疑，美国官方情报部门后来证实了这一诊断。

随着时间的推移，发现这些攻击的目标是世界各地的敏感计算机网络，包括微软本身。 据报纸报道，美国政府显然是这次袭击的主要目标，财政部、国务院、商务部、能源部和部分五角大楼等数十个受影响组织都被列入了受害者名单。 其中包括其他科技公司、政府承包商、智囊团和一所大学。 这些袭击不仅针对美国，还影响到加拿大、英国、比利时、西班牙、以色列和阿拉伯联合酋长国。 在某些情况下，对网络的渗透会持续数月。

起源

这一切都始于名为 Orion 的网络管理软件，由一家名为 SolarWinds 的公司开发。 拥有超过 38000 家企业客户 在高层，攻击者只需要在更新中插入恶意软件。

安装后，恶意软件会连接到技术上称为命令和控制 (C2) 服务器的服务器。 C2 e 服务器它被编程为赋予连接的计算机任务，例如传输文件、执行命令、重新启动机器和禁用系统服务的能力。 换句话说，Yttrium 代理可以完全访问那些安装了 Orion 程序更新的人的网络。

接下来我将逐字引用史密斯文章中的一段

没过多久我们就意识到

跨行业和与政府的技术团队合作的重要性

来自美国。 SolarWinds、FireEye 和 Microsoft 的工程师立即开始合作。 FireEye 和 Microsoft 团队彼此非常了解，但 SolarWinds 是一家面临重大危机的小公司，如果要发挥作用，团队必须迅速建立信任。

SolarWinds 工程师与另外两家公司的安全团队共享了他们更新的源代码，

这揭示了恶意软件本身的源代码。 美国政府的技术团队迅速采取行动，特别是在国家安全局 (NSA) 和国土安全部的网络安全和基础设施安全局 (CISA)。

亮点是我的。 团队合作和共享源代码。这对您来说是不是听起来很像？

打开后门后， 恶意软件两周内处于非活动状态， 以避免创建会提醒管理员的网络日志条目。 磷在此期间，它发送有关感染命令和控制服务器的网络的信息。 攻击者与 GoDaddy 托管服务提供商之间的关系。

如果内容对 Yttrium 感兴趣， 攻击者通过后门进入并在被攻击的服务器上安装额外的代码以连接到第二个命令和控制服务器. 这第二台服务器对每个受害者来说都是独一无二的，以帮助逃避检测，在第二个数据中心注册和托管，通常在亚马逊网络服务 (AWS) 云中。

微软诉 SVR。 士气

如果您有兴趣了解我们的英雄如何给予他们应得的反派，请在第​​一段中找到来源链接。 我将直接跳到为什么我在 Linux 博客上写这个。 Microsoft 与 SVR 的对抗表明了可用于分析的代码的重要性，并且知识是集体的。

确实，正如今天早上一位著名的计算机安全专家提醒我的那样，如果没有人费心去分析代码，那么公开代码是没有用的。 有 Heartbleed 案例可以证明这一点。 但是，让我们回顾一下。 38000 名高端客户注册了专有软件. 他们中的一些人安装了恶意软件更新，该更新暴露了敏感信息并控制了关键基础设施的敌对元素。 负责的公司 他只在脖子上挂着水时才向专家提供密码. 如果需要关键基础设施和敏感客户的软件供应商 使用开放许可证发布您的软件，因为有常驻代码审计员（或为多个工作的外部机构），像 SolarWinds 这样的攻击风险会低得多。