Afacerea SolarWinds, volumul 2: efectele operaţiei şi măsurile conspirative

În primul articol din seria dedicată „Afacerii SolarWinds” am examinat modul de pătrundere a hackerilor şi de exploatare a unor produse software din lanţul logistic al Platformei Orion, destinată monitorizării reţelelor de mari dimensiuni ale multor agenţii guvernamentale şi companii americane. Efectele operaţiei de spionaj pot fi estimate pe trei dimensiuni: extindere, profunzime şi gravitate.

În linii mari, extinderea pagubelor a fost sesizată încă de la începutul crizei şi estimată la dimensiuni îngrijorătoare. Astfel, bazinul susceptibil a fi afectat include aproape întregul guvern federal al Statelor Unite, autorităţi statale şi municipale (Austin, capitala Texasului, chiar statul unde este sediul companiei SolarWinds), organizaţii neguvernamentale din domeniul relaţiilor internaţionale, precum şi circa 300.000 de firme comerciale atât din S.U.A. (între care peste 425 dintre cele listate în Fortune 500), cât şi firme din alte şapte ţări[i]. Mai restrâns, produsul malware Sunburst a fost cu certitudine descărcat în 18.000 de reţele aparţinând unor departamente şi agenţii esenţiale ale guvernului american[ii], iar 33.000 de clienţi direcţi ai companiei SolarWinds au fost notificaţi ca posibile victime. De asemenea, Platforma Orion compromisă cu Sunburst a fost descărcată chiar de colosul Microsoft şi patruzeci de companii private cliente ale Microsoft, majoritatea operând în domeniul IT. Între aceste firme, Microsoft precizează că 18% sunt entităţi lucrând pentru guvernul american, iar 80% sunt firme private bazate în Statele Unite. Preşedintele Microsoft, Brad Smith, a declarat că „sunt mai multe victime neguvernamentale decât guvernamentale, în special (douăzeci de) companii IT, şi mai ales în industria securităţii”.

O altă complicaţie în evaluarea extinderii efectelor operaţiei de spionaj SolarWinds este faptul că nu toate victimele campaniei au fost supuse aceluiaşi impact. În unele cazuri, hackerii au plantat o „uşă din dos” şi nu au acţionat mai departe, pe când în alte cazuri au procedat la pătrunderea mai adâncă în reţele, pentru cercetare şi extragere de date. De altfel, firma SolarWinds a precizat că operaţia a fost „concepută a fi focalizată, extrem de bine ţintită şi executată manual, nu un atac amplu, asupra întregului sistem”.

Pe de altă parte, există situaţia în care unele firme au neglijat sau amânat actualizarea produsului Orion, din diferite motive, şi au fentat astfel, fără voie, infectarea cu produsul malware Sunburst.

Ca o concluzie în privinţa extinderii pe orizontală a afectării infrastructurii cibernetice americane, senatorul Mark Warner (Democrat de Virginia), membru în Comisia Selectă de Intelligence a Senatului S.U.A., a declarat că „asta arată mult, mult mai rău decât m-am temut iniţial... Amploarea problemei se tot extinde”.

Estimarea primară a profunzimii intruziunii informatice

În privinţa profunzimii afectării reţelelor compromise, trebuie considerat nivelul tehnologic al pagubelor. Aici, potrivit fostului hacker al NSA David Kennedy, dat fiind că investigatorii nu cunosc intenţia punctuală a autorilor, ei nu pot decide ferm unde să caute. Abia după identificarea unui set de zone de reţea posibil a fi afectate, problema se simplifică oarecum, fiind nevoie „doar” de constatarea unei comunicări între reţeaua victimă şi calculatorul / reţeaua hackerului. Apoi problema se complică din nou, pentru că este foarte greu de stabilit ce anume a făcut hackerul după ce a obţinut acces, întrucât „a ocupa şi a exploata sunt două lucruri foarte diferite”. De aceea, expertul IT Thomas Bossert, fost consilier în Departamentul Securităţii Naţionale (DHS) a declarat că va dura ani de zile până să ne dăm seama care reţele au fost doar ocupate prin modificarea codului sursă şi care reţele au fost controlate activ pentru extragerea de date.

Softul atacat, Platforma Orion, a fost prezentat în articolul anterior, dar este foarte important să se stabilească dacă a fost compromis codul sursă de control, sau dacă hackerii doar s-au instalat în motorul structural (poate un expert IT ar spune asta altfel). Din păcate, registrele de metadate nu pot arăta acest lucru, dar hackerii au depus mult efort pentru ca secvenţele introduse să semene cu codul sursă original, după cum vom vedea mai jos. Lucru sigur este că intruziunea hackerilor s-a produs prin afectarea structurală a codului sursă (build infrastructure level) şi prin compromiterea unor biblioteci cu date pentru identificarea şi autentificarea clienţilor în reţea, adică sistemul digital de semnare a fost forţat să autorizeze secvenţe nesigure.

În cazul victimei numite Microsoft, compania a admis detectarea de aplicaţii Orion în mediul său informatic, dar a precizat că nu au fost modificate coduri sursă. Constatarea nu este neapărat liniştitoare, pentru că simpla cunoaştere a codurilor sursă ale unor produse Microsoft principale permite stabilirea punctelor vulnerabile şi planificarea eficace a unor atacuri ulterioare. Declaraţia firmei: „ca şi alţi clienţi SolarWinds, am căutat activ indícii... şi putem confirma că am detectat secvenţe binare malware SolarWinds în mediul nostru, pe care le-am izolat şi le-am îndepărtat. Nu am găsit dovezi privind accesul (hackerilor) la servicii de producţie sau la date ale clienţilor. Investigaţiile noastre, care continuă încă, nu au găsit absolut niciun indiciu că sistemele noastre ar fi fost folosite pentru a ataca pe altcineva”.

De asemenea, unii experţi consideră că şi secvenţele de malware aparent inactive care au fost instalate în diferite programe pot lucra pentru cunoaşterea tehnicilor de contracarare aplicate de auditorii de reţea sau pentru a-şi consolida starea de conspirativitate.

Pe de altă parte, victimele confirmate sau potenţiale trebuie să ia în considerare faptul că, prin acţiunea intruzivă a produsului malware injectat, este posibil ca efectul ostil să fie transferat şi asupra altor programe sau mecanisme de autentificare folosite în reţeaua clientului respectiv.

Estimarea primară a gravităţii operaţiei de spionaj

Între victimele menţionate mai sus se numără departamente şi agenţii cu rol esenţial în securitatea şi apărarea Statelor Unite, iar gradul de afectare a reţelelor Pentagonului şi ale agenţiilor de intelligence nu este încă stabilit în parametri finali.

Există şi o categorie de interes deosebit, deşi aparţine unui minister mai puţin spectaculos, anume Departamentul Energiei (DoE). În Statele Unite, însă, această ramură a executivului are responsabilitatea tuturor stocurilor nucleare ale ţării, inclusiv armele nucleare. Acestea sunt sub controlul Administraţiei Naţionale pentru Securitate Nucleară (NNSA), care cheltuie mai mult de jumătate din bugetul DoE şi monitorizează stocul de material nuclear de la dezvoltarea tehnologică şi testări ne-explozive, până la măsurile contra-terorism şi securitatea fizică a tuturor instalaţiilor nucleare. Între reţelele NNSA, a fost afectată reţeaua Comisiei Federale de Reglementare în domeniul Energiei (FERC), care coordonează laboratoarele de cercetare nucleară de la Sandia şi Los Alamos (din New Mexico), Oak Ridge (Tennessee), cât şi sucursala DoE Richland (statul Washington), care gestionează tratarea instalaţiei de producţie a plutoniului de nivel armament de la Hanford (din statul Washington), abandonată în anii 70. În acea locaţie, în cursul celui de-al Doilea Război Mondial şi în timpul Războiului Rece, s-au produs două treimi din plutoniul radioactiv al Statelor Unite.

Pe de altă parte, FERC coordonează supravegherea întregii reţele de energie electrică a S.U.A. O eventuală penetrare a reţelelor FERC ar permite unui atacator accesul la date confidenţiale ale colaboratorilor comisiei, cu perspectiva unor acţiuni ostile grave asupra distribuţiei de energie electrică în Statele Unite.

Totuşi, purtătoarea de cuvânt a NNSA, Shaylyn Hynes, a declarat, la jumătate lui decembrie 2020, că „investigaţia a constatat că produsul malware a rămas izolat doar în reţele comerciale şi nu a cauzat un impact asupra funcţiunilor misiunii esenţiale de securitate naţională a departamentului, inclusiv ale NNSA”. Inshallah! – ar zice unii.

Modul de conspirare a operaţiei SolarWinds

Dar cum a trecut neobservată a operaţie atât de amplă şi de profundă? Ştim din filmele de spionaj, dacă nu am mai găsit manuale prin librării, că măsurile de asigurare a conspirativităţii sunt esenţiale pentru succesul unei operaţii clandestine. Da' rău de tot! De aceea, cel mai sfânt principiu al activităţilor clandestine este exprimat pragmatic prin prescurtarea DGC (Don't Get Caught, adică Nu te lăsa prins!)

Pentru succesul unei operaţii de cyber-spionaj de asemenea dimensiuni, hackerii trebuie să rămână „sub nivelul radarelor” pentru luni sau ani de zile şi să fenteze programe de securitate în care s-au investit sume uriaşe şi îşi apără teritoriul propriu. Pentru a realiza asta, hackerii trebuie „să meargă pe sârmă”, să găsească echilibrul perfect între menţinerea conspirativităţii şi atingerea obiectivelor de spionaj.

Potrivit unui expert IT, hackerii au fost „extrem de isteţi şi orientaţi strategic”, au procedat meticulos şi calculat, având în vedere obiective pe termen lung, nu o lovitură singulară. În traficul de reţea al Platformei Orion, activitatea secvenţei „otrăvite” Sunburst a fost etichetată sub numele „Orion Improvement Program”, ceea ce a permis trecerea neobservată şi persistenţa discretă a acţiunii ilegale. Ulterior, după stabilirea accesului „pe uşa din dos” a reţelei victimă prin instrumentul Sunburst, hackerii au acţionat calm şi sistematic. Potrivit unui raport al firmei FireEye, în loc să infiltreze numeroase sisteme dintr-o dată, ceea ce ar fi trezit suspiciuni, hackerii s-au concentrat pe un număr mic de ţinte selecţionate şi distribuite în reţele diverse.

Un expert al firmei DomainTools, specializată în analiza ameninţărilor cibernetice, a precizat că hackerii „par a se fi bazat pe reînnoirea sau reînregistrarea unor domenii deja existente, în loc să creeze domenii complet noi, şi au utilizat o varietate de servicii de memorare în cloud pentru infrastructura reţelei”. În cursul modificărilor aduse la codurile sursă, hackerii au imitat stilul de programare al dezvoltatorilor Platformei Orion inclusiv în modul de denumire a subrutinelor. De exemplu, numele unei clase de subrutine, „OrionImprovementBusinessLayer” a fost stabilit pentru a păcăli auditorii de securitate cibernetică, întrucât acest tip de nume poate fi întâlnit şi în alte biblioteci autentice ale Platformei. Prin astfel de proceduri „anti-forensice”, de mascare, hackerii si-au creat propriile implementări ale funcţiilor Orion pentru a procesa denumirile UserID, aceste modificări folosind acelaşi format GUID în tipul de UserID ulterioare. Imitarea onomasticii Orion este vizibilă în toate codurile sursă ale „uşilor din dos” detectate.

O altă metodă „anti-forensică” (aşteptăm cuvântul românesc), de ascundere a activităţii ilegale este combinarea unor procedee de compresie la codarea în bază 64, pentru că există mai multe reguli de detecţie a intruziunilor care caută variante în bază 64 ale unor lanţuri de programare, iar acestea trebuie evitate.

Tehnicile menţionate au fost aplicate în numeroase funcţiuni adăugate produsului Orion, ceea ce a ajutat hackerii să mascheze indiciile asupra identităţii lor reale, să îşi acopere urmele şi să se ascundă în traficul legitim al reţelelor spionate. Procedura scoate în evidenţă nu numai intenţia de conspirativitate, dar şi profunda cunoaştere a codurilor sursă ale Platformei Orion.

Chiar locaţia pentru instalarea secvenţei declanşatoare („kill switch”), explicaţă în articolul anterior, este aleasă perfect pentru adăugarea acestor linii de program, deoarece secvenţa gazdă a produsului malware este deja dedicată sarcinilor de testări de fond şi de durată.

În faza de exploatare a produsului malware, pentru a-şi acoperi în continuare urmele, hackerii au avut grijă să folosească o singură dată un calculator sau o reţea de comunicare cu Sunburst, ca şi cum cineva ar folosi doar o singură dată un telefon cu cartelă, neatribuit unui utilizator identificat, pentru o comunicare ilegală. Hackerii au exploatat cu parcimonie produsul malware şi au folosit, în schimb, accesul sigur de la distanţă „prin uşa din dos”, folosind credenţiale autentice furate de la utilizatori reali. Mai mult, codurile folosite nu erau refolosite, pentru că programele de securitate caută coduri utilizate în mod repetat.

Potrivit raportului CISA, în cazul „afacerii SolarWinds”, securitatea cibernetică a S.U.A. se confruntă cu „un adversar iscusit, conspirat şi protejat prin securitate operaţională, un adversar preocupat să întrebuinţeze resurse semnificative pentru a-şi menţine prezenţa acoperită”.

Concluzii

Unul dintre aspectele inedite ale operaţiei SolarWinds este dat de faptul că, la primă estimare, hackerii nu au vizat direct secrete esenţiale ale victimelor, adică serverele unor instituţii de securitate naţională sau baze de date strict secrete. Astfel, impactul punctual pare minor.

O altă particularitate este faptul că, în afara unor estimări primare oarecum liniştitoare, nu se ştie, de fapt, care şi câte informaţii au fost compromise.

Expertul american Dmitri Alperovitch concluzionează că „noi am ştiut mereu că astfel de atacuri sunt posibile, şi le-am şi constatat în alte părţi, cum ar fi atacul NotPetya, în Ucraina. Aşa că nu faptul că s-a întâmplat este o surpriză. Este surprinzător faptul că ruşii au avut succes atât de mult timp, fără să fie detectaţi. Cred că guvernul Statelor Unite, şi industria de securitate cibernetică în întregimea sa, trebuia să îşi facă foarte multă introspecţie şi reflecţie privind masiva cădere la care asistăm acum. Şi, din nou, asta trebuie neapărat să servească drept alarmă care să ne trezească pe toţi”.

Ca principiu general, din punct de vedere al securităţii, dacă se estimează că ceva ar fi putut fi sustras, este mai sigur să se meargă pe ipoteza că obiectivul spinului a fost atins. În această idee, în articolul următor referitor la Afacerea SolarWinds, „volumul 3”, voi prezenta primele măsuri de răspuns împotriva masivei operaţii de spionaj împotriva Statelor Unite.