微軟訴 SVR。 為什麼開源應該成為常態

它可能是 NetForce 系列中的湯姆克蘭西小說，但是 這是一本書 由微軟總裁布拉德·史密斯 (Brad Smith) 撰寫，向他本人和他的公司致敬。 無論如何，如果有人在兩行之間閱讀（至少在 提取物 門戶可以訪問）並將自己拍在背部和棍子上與競爭對手分開， 剩下的非常有趣和有啟發性。 而且，以我的拙見，免費軟件和開源模型的優勢示例。

性格

每部間諜小說都需要一個“壞人”，在這種情況下，我們只有 SVR， 蘇聯解體後接替克格勃的組織之一。 SVR 處理在俄羅斯聯邦邊界以外執行的所有情報任務。 “無辜的受害者”是開發網絡管理軟件的公司 SolarWinds。它被大型公司、關鍵基礎設施經理和美國政府機構使用。 當然，我們需要一個英雄。 在這種情況下，根據他們自己的說法，是微軟的威脅情報部門。

不然怎麼可能，在黑客的故事中，“壞”和“好”有一個別名。 SVR 是釔（Yttrium）。 在 Microsoft，他們使用元素週期表中不太常見的元素作為可能的威脅來源的代號。 威脅情報部門是 MSTIC 因為它在英語中的首字母縮寫詞，儘管在內部他們將其發音為 mystic (mystic)，因為語音相似。 在下文中，為方便起見，我將使用這些術語。

微軟訴 SVR。 事實

30 年 2020 月 XNUMX 日，美國領先的計算機安全公司之一 FireEye 發現自己的服務器遭遇了安全漏洞。 由於他們自己無法解決（對不起，我不能停止說“鐵匠的房子，木刀”）他們決定向微軟的專家尋求幫助。 由於 MSTIC 一直跟隨 Yttrium 的腳步，並且他們立即對俄羅斯人產生了懷疑，美國官方情報部門後來證實了這一診斷。

隨著時間的推移，發現這些攻擊的目標是世界各地的敏感計算機網絡，包括微軟本身。 據媒體報導，美國政府顯然是這次襲擊的主要目標，財政部、國務院、商務部、能源部和部分五角大樓的受害者名單中，有數十個組織受到影響。 其中包括其他科技公司、政府承包商、智囊團和一所大學。 這些襲擊不僅針對美國，還影響到加拿大、英國、比利時、西班牙、以色列和阿拉伯聯合酋長國。 在某些情況下，對網絡的滲透持續了幾個月。

起源

這一切都始於名為 Orion 的網絡管理軟件，由一家名為 SolarWinds 的公司開發。 擁有超過 38000 家企業客戶 高級，攻擊者只需在更新中插入惡意軟件。

安裝後，惡意軟件會連接到技術上稱為命令和控制 (C2) 服務器的服務器。 C2 e 服務器它被編程為賦予連接的計算機任務，例如傳輸文件、執行命令、重新啟動機器和禁用系統服務的能力。 換句話說，Yttrium 代理可以完全訪問那些安裝了 Orion 程序更新的人的網絡。

接下來我將逐字引用史密斯文章中的一段

沒過多久我們就意識到

跨行業和與政府的技術團隊合作的重要性

來自美國。 SolarWinds、FireEye 和 Microsoft 的工程師立即開始合作。 FireEye 和 Microsoft 團隊彼此非常了解，但 SolarWinds 是一家面臨重大危機的小公司，如果要發揮作用，團隊必須迅速建立信任。

SolarWinds 工程師與另外兩家公司的安全團隊共享了他們更新的源代碼，

這揭示了惡意軟件本身的源代碼。 美國政府技術團隊迅速採取行動，特別是在國家安全局 (NSA) 和國土安全部的網絡安全和基礎設施安全局 (CISA)。

亮點是我的。 團隊合作和共享源代碼。這對您來說是不是聽起來很像？

打開後門後， 惡意軟件兩週內處於非活動狀態， 以避免創建會提醒管理員的網絡日誌條目。 磷在此期間，它發送有關感染命令和控制服務器的網絡的信息。 攻擊者與 GoDaddy 託管服務提供商之間的關係。

如果內容對 Yttrium 感興趣， 攻擊者通過後門進入並在被攻擊的服務器上安裝額外的代碼以連接到第二個命令和控制服務器. 這第二台服務器對每個受害者來說都是獨一無二的，以幫助逃避檢測，在第二個數據中心註冊和託管，通常在亞馬遜網絡服務 (AWS) 雲中。

微軟訴 SVR。 士氣

如果您有興趣了解我們的英雄如何給予他們應得的反派，請在第一段中找到資源鏈接。 我將直接跳到為什麼我在 Linux 博客上寫這個。 Microsoft 與 SVR 的對抗表明了可用於分析的代碼的重要性，並且知識是集體的。

的確，正如今天早上計算機安全領域的一位著名專家提醒我的那樣，如果沒有人費心分析代碼，那麼公開代碼是沒有用的。 有 Heartbleed 案例可以證明這一點。 但是，讓我們回顧一下。 38000 名高端客戶註冊了專有軟件. 他們中的一些人安裝了惡意軟件更新，該更新暴露了敏感信息並控制了關鍵基礎設施的敵對元素。 負責的公司 他只在脖子上掛著水時才向專家提供密碼. 如果需要關鍵基礎設施和敏感客戶的軟件供應商 使用開放許可證發布您的軟件，因為有常駐代碼審計員（或為多個工作的外部機構），像 SolarWinds 這樣的攻擊風險會低得多。