Să vină pompierii!!!

În America, perioada premergătoare Crăciunului este un maraton de petreceri, iar americanii trăiesc a doua jumătate a lunii decembrie într-o stare de semi-transă îmbibată cu spiritul Crăciunului, cu serbări pe coridoarele firmelor şi ale Pentagonului, cu lumini, decoraţiuni şi muzică absolut peste tot, plus figurine dinamice luminoase pe cele mai multe peluze. Ei, în anul 2020, la izbucnirea ştirii (Breaking news, deh!) despre dezastrul SolarWinds, numeroase agenţii federale şi mii de firme americane primesc Directiva urgentă emisă de agenţia SUA pentru securitate cibernetică CISA[i], a cincea emisă vreodată de CISA în întreaga ei istorie. Mai precis, indicaţiile tehnologice au fost stabilite de secţiunea US-CERT[ii] din cadrul CISA, această denumire fiind preluată de structuri similare din toate ţările, inclusiv România, unde avem CERT-RO. Acest document le cerea, nici mai mult, nici mai puţin, decât decuplarea de la reţelele informatice sau de la alimentare a tuturor sistemelor / produselor afectate de produsul Orion Platform, asigurat de firma SolarWinds, şi asta „până luni la prânz”, directiva fiind emisă joi (17 decembrie). Precizare: sistemele vor rămâne decuplate pentru o durată nedeterminată, agenţiilor fiindu-le „interzis să (re)cupleze sistemul de operare Windows gazdă la domeniul general de lucru”.

Aşa a sunat alarma, când le era lumea mai dragă tuturor, şi asta era situaţia. Părăsind registrul ludic, să vedem modul în care şi-au petrecut zilele de Crăciun mii de informaticieni americani.

Chipul hidrei

Pentru a completa tabloul de îngrijorare, merită amintit faptul că nivelul general de securitate al firmei SolarWinds a fost portretizat prin exemplul parolei folosite pentru un server de actualizare a datelor (adevărat, fără legătură cu cazul de hacking), anume parola „solarwinds123” !

Şi dacă nu era destul, iată că, în cursul acestor investigaţii informatice, la 12 ianuarie 2020, o lună de la detectarea produsului malware Sunburst, firma de securitate cibernetică CrowdStrike a anunţat identificarea unui al treilea cal troian cu activitate ilegală, anume Sunspot, după Sunburst şi TearDrop, menţionate în primul articol dedicat „Afacerii SolarWinds”. Chiar se pare că Sunspot a fost folosit înaintea lui Sunburst (numit şi Solarigate), adică din septembrie 2019, odată cu penetrarea iniţială a Platformei Orion, scopul lui fiind inserarea secvenţei Sunburst în codul Orion.

În prezent, hackerii urmăriţi sunt referiţi sub trei nume de către principalele firme care investighează operaţia SolarWinds: UNC2452 de către FireEye şi Microsoft, DarkHalo de către Volexity, respectiv StellarParticle de către CrowdStrike.

Firma CrowdStrike a precizat faptul că Sunspot (secvenţa ucigaşă produsă de StellarParticle) a avut un singur obiectiv, anume să supravegheze serverul de configurare structurală (build server), pentru a cunoaşte comenzile de configurare care determină asamblarea Platformei Orion. Simplu spionaj, cum era „pe vremuri” montarea unui microfon sau a unei camere de luat vederi. Dar, în urma monitorizării proceselor din reţeaua-ţintă, Sunspot decidea locul de instalare a secvenţei Sunburst şi înlocuia linii de cod din fişierul sursă al Orion cu secvenţa Sunburst. Sunspot dispunea şi de măsuri de siguranţă pentru a asigura buna funcţionare a zonei respective de cod, astfel încât să evite defecţiuni care ar fi putut trezi avertizoarele Platformei Orion.

Pentru ampla operaţiune de curăţire a sistemelor este nevoie, evident, de toate datele posibil a fi măcar atinse de malware. Cum spunea un expert, „Noi credem în Dumnezeu; toţi ceilalţi trebuie să aducă date”. Acest volum imens de secvenţe binare sunt fie stocate „centralizat” în numeroase servere la dispoziţia administratorilor de reţea din sediile centrale ale agenţiilor, fie distribuite la sucursale şi servere ale clienţilor – şi acestea imense, fie stocate în cloud.

O primă dificultate, cu caracter general, este că diferite firme şi agenţii operează cu reguli diferite privind stocarea datelor de mentenanţă şi comunicaţii ale serverului, fiind posibil ca registrele de operaţiuni informatice să nu mai conţină date din martie 2020. Aceasta face ca, în unele cazuri, să nu mai existe informaţiile necesare depistării eventualului transfer ilegal de date între beneficiari şi hackeri, prin intermediul produsului malware vehiculat de server în cursul operării Platformei Orion.

Apoi, dat fiind că obiectivele punctuale ale hackerilor pentru fiecare ţintă nu sunt cunoscute, un fost hacker al NSA a declarat că, „practic, trebuie să treci cu un piepten foarte fin prin întreaga organizaţie”. Iar această muncă de Sisif nu se desfăşoară într-un singur pas, ci este o investigaţie care presupune evaluarea integrată a unor date anoste care se întind pe luni de zile, examinarea atentă a multor înregistrări şi protocoale aparent uzuale şi inofensive, şi care chiar sunt legitime în cea mai mare parte. În plus, fiind vorba despre infracţiuni comise în procese de comunicare în reţele protejate, trebuie examinate protocoale de tranzacţie şi coduri de cifrare a comunicărilor în reţea, inclusiv în reţelele clienţilor care au utilizat Platforma Orion.

Pentru cititorii mai duri, care consideră că tabloul problemelor încă nu este suficient de palpitant, trebuie spus că, acum, când detaliile tehnice despre secvenţa malware au devenit publice, există chiar riscul accesării şi exploatării acestor „uşi deschise” de către alţi hackeri, fie coordonaţi de state ostile, fie grupuri infracţionale, fie, pur şi simplu, informaticieni pasionaţi de aventură (doar este plictiseală în pandemie, nu?).

Vai, dar chiar s-a întâmplat: vulnerabilităţile Platformei Orion au fost exploatate de un alt grup de hackeri, care au instalat produsele malware Supernova şi CosmicGale. Vulnerabilitatea se numeşte CVE-2020-10148 şi este o scurtătură de autentificare în protocolul Orion care permite intruşilor să execute comenzi de cod de la distanţă, pe sistemele unde este instalată Orion. Detaliile au fost oferite de firmele Symantec, Guidepoint şi Palo Alto Network. Se pare că Supernova[iii] nu are nicio legătură cu Operaţia SolarWinds iniţială şi „dosarul” este tratat separat. Că nu se mai termină!

Primele intervenţii la incidentul informatic

Evident, primii care au intervenit împotriva operaţiei de spionaj SolarWinds au fost tehnicienii care au identificat acţiunea de hacking, înainte de a evalua exhaustiv dimensiunile acesteia, deci chiar începând cu 9 decembrie. Abia apoi informaţia a fost publicată şi instituţiile abilitate au decis primele măsuri organizatorice / instituţionale.

În prima linie de reacţie rapidă s-au numărat firmele de securitate cibernetică, în frunte cu SolarWinds, FireEye şi Microsoft, şi, bineînţeles, compartimentele de securitate cibernetică din agenţiile guvernamentale afectate... plus celelalte (de fapt, agenţiile de intelligence şi structurile Pentagonului au preluat Directiva pentru valoarea ei, nefiind, din punct de vedere juridic, sub autoritatea CISA). De exemplu, în Departamentul Energiei (DoE), agenţia de specialitate a menţionat că, „atunci când DoE a identificat software vulnerabil (cel achiziţionat de la SolarWinds), a fost declanşată imediat acţiunea de diminuare a riscului, iar toate produsele software identificate a fi vulnerabile la acest atac au fost decuplate de la reţeaua DoE”.

În România, care nu a fost indicată ca posibilă ţintă în avertizările primare emise în Statele Unite, structura guvernamentală CERT-RO a iniţiat verificările necesare pentru detectarea unor eventuale intruziuni tip SolarWinds în reţele informatice. Mai precis, în ţara noastră, CERT-RO „urmăreşte confirmarea prezenţei componentei /Orion/logoimagehandler.ashx, vizată de backdoor-ul Supernova”.

Dar ce anume au de făcut informaticienii?

Prin Directiva de urgenţă menţionată, CISA a cerut utilizatorilor să nu instaleze sau să reinstaleze nicio versiune Orion fără încuviinţarea ei. În completare, firma SolarWinds a emis un set de precizări beneficiarilor, care să-şi actualizeze softul cu ultima versiune Orion Platform 2020.2.1 HF 1, disponibil pe portalul SolarWinds. Recomandările emise de SolarWinds se referă nu numai la Sunburst, dar şi la produsul malware Supernova, cel nou, menţionat de CERT-RO.

Directiva CISA prevedea şi obligaţia ca beneficiarii să confirme urgent către CISA, printr-un fel de formular/declaraţie amănunţită, atât decuplarea reţelelor, cât şi eventuala detectare a secvenţelor „otrăvite” [iv], la o primă examinare.

Informaticienii au comunicat tuturor utilizatorilor care anume sunt cele patru versiuni ale produsului Orion Platform afectate de malware, iar în cele patru versiuni secvenţele incriminate identificate sunt acum căutate în toate reţelele. După reluarea activităţii în sistemele informatice cu noi variante Orion validate de CISA, auditorii informatici ai tuturor sistemelor trebuie să blocheze întreg traficul venind din exterior către oricare dintre variantele Platformei Orion instalate. În continuare, auditorii caută nu numai secvenţele malware primare, dar şi secvenţele generate şi transferate prin acţiunea Sunburst. Un prim suspect este domeniul avsvmcloud[.]com, care a fost folosit ca „dispecerat” pentru distribuirea Sunburst către beneficiari, cu referire la adresa de IP 20.140.0[.]1, aflată pe lista de blocare emisă de Microsoft.

Precizările (Advisory) SolarWinds abordează în mod special cerinţele de detectare şi anihilare a două tehnici / tactici / proceduri (TTP) care au fost folosite de hackeri pentru a falsifica parolele de autentificare şi a căpăta acces la resursele stocate de diverse victime în cloud. Aceste TTP aplicate de calul troian deja stabilit în reţeaua victimă prin Platforma Orion pot fi utilizate pentru exploatarea altor vulnerabilităţi şi pot submina procesul de autentificare, apoi încrederea în program, precum şi securitatea reţelei, în ansamblu. Diminuarea efectelor operaţiei de spionaj cibernetic se realizează prin consolidarea şi monitorizarea sistemelor care asigură atât identificarea locală, cât şi servicii de reţea extinsă. Mai precis, în intervenţia reparatorie, experţii închid locaţiile tip cu autentificare unică (SSO - single sign-on) asignate clienţilor în configuraţia de cloud şi caută „indícii de compromitere” a reţelei, la care mă voi referi mai jos.

În afară de acţiunile direcţionate împotriva calului troian Sunburst, auditorii trebuie să identifice orice altă manifestare a unei acţiuni ilicite de compromitere sau intruziune, cum ar fi „noi conturi de utilizator sau de servicii, fie privilegiate, fie cu regim de rutină”. Pentru asta, investigatorii agenţiilor trebuie să aibă expertiza de a proiecta o „imagine forensică” a memoriei de sistem şi să utilizeze instrumentele informatice adecvate unei astfel de intervenţii.

Un aspect limitativ în cunoaşterea modului de răspuns informatic la operaţia de spionaj cibernetic SolarWinds este faptul că activităţile experţilor intră, ele însele, sub semnul confidenţialităţii. Chiar Directiva CISA prevede faptul că „discuţiile despre constatări şi diminuări ale efectelor trebuie considerate foarte sensibile şi trebuie protejate prin măsuri de securitate operaţională”, iar „un plan de securitate operaţională trebuie să fie dezvoltat şi socializat prin comunicaţii în afara fluxului general, pentru a asigura că personalul de specialitate primeşte precizările necesare cu limitările adecvate privind vehicularea instrucţiunilor”.

După primul ajutor, tratamentul sistematic

Nivelurile de afectare a reţelelor penetrate cu Sunburst sugerează o clasificare a acestora în trei categorii: reţele în care calul troian a fost instalat, dar nu a fost folosit niciodată; reţele în care Sunburst a fost instalat şi a fost folosit ilegal, dar numai limitat; respectiv reţele în care produsul malware a fost instalat şi folosit efectiv pentru extragerea de date de interes, prin declanşarea „hoţoaicei” TearDrop, care a compromis date considerate a fi de valoare de către hackeri. De remarcat, multe date nu au fost compromise doar pentru că hackerii nu au considerat că merită efortul, nu pentru că nu ar fi putut! Această clasificare a victimelor devine utilă în cursul planificării eforturilor de răspuns, dar chiar şi firmele din primele două categorii trebuie să „închidă uşa din dos”, pentru a preveni acţiuni ulterioare ale hackerilor. 

În sprijinul echipelor de intervenţie la urgenţa cibernetică Orion, firma FireEye („tot păţitu-i priceput!”), apoi Microsoft şi GoDaddy au elaborat şi distribuit liste lungi de „indícii de compromitere” (indicators of compromise[v]). Aceste indicii sunt secvenţe de program, adrese IP (furnizor de Internet) sau răspunsuri înregistrate Domain Name Service (DNS), toate asociate activităţii clandestine a hackerilor. Aceste indicii scot în evidenţă prezenţa sau acţiunea unui produs malware în reţeaua examinată, deci operarea ilicită în reţea. Astfel, indiciile de compromis indică fie chiar prezenţa secvenţei Sunburst, fie adrese IP ale unor calculatoare sau reţele folosite de hackeri pentru a comunica cu secvenţa Sunburst infiltrată în reţelele victimă.

Aceste firme au realizat şi un declanşator (kill switch) contra calului troian, care neutralizează secvenţa malware prin preluarea controlului asupra adreselor IP ilegale şi blocarea oricărui transfer dinspre sau către acestea, fie comenzi, fie date.

Din păcate, însă, lista de „indícii de compromitere” nu poate fi completă, pentru că hackerii au folosit, de multe ori, o singură dată un calculator de acces ilegal, după cum am prezentat în articolul „volumul 2” dedicat Afacerii SolarWinds. Astfel, simpla absenţă a unei adrese IP suspecte din traficul documentat în memoria reţelei beneficiarului de Platformă Orion nu garantează că reţeaua nu a fost penetrată cu malware Sunburst. Mai rău, găsirea unui Sunburst şi îndepărtarea lui din program nu înseamnă, în mod automat, rezolvarea problemei, pentru că hackerii au putut să instaleze produse malware şi în alte părţi ale reţelei. Iar dacă mai există încă o treaptă mai jos ca veste proastă, în tot cursul acestei investigaţii şi curăţiri a reţelei, hackerii încă pot acţiona pentru a continua operaţia SIGINT de spionaj cibernetic.

Un alt instrument, distribuit de firma Kaspersky Lab, este programul Sunburst DGA Decoder, care decodifică cererile DNS primite de la infrastructura de comandă şi control a hackerilor. Acest program poate servi la înţelegerea logicii hackerilor de prioritizare a ţintelor.

În plan mai larg, o altă firmă propune o nouă abordare pentru detectarea şi prevenirea acţiunilor ilegale asupra lanţurilor logistice ale asigurării cu software de protecţie cibernetică. Pornind de la simplul fapt că investigatorii caută anomalii în derularea activităţii în reţelele protejate (de exemplu, prin regulile Yara), experţii propun urmărirea marcajelor cronologice pe intrările de comenzi şi de date în transferurile reţelei cu reţele ale beneficiarilor. Dacă aceste marcaje de timp sunt „ştampilate” pe chitanţele de transfer prin acţiunea unui server de supraveghere aflat în afara sistemului protejat, hackerii nu vor mai putea ţine pasul cu marcajele de timp protejate şi anomaliile de acces ilegal pot fi detectate imediat, nu la un audit post-factum.

Mai promiţător, firma ReversingLabs a dezvoltat un concept de software care să protejeze deopotrivă dezvoltatorul şi clientul, în cadrul lanţului logistic (supply chain) de securitate cibernetică. Conceptul propus are în vedere monitorizarea unei imagini comprehensive a oricărui produs de securitate cibernetică urmărind trei aspecte dovedite a cauza vulnerabilităţi în lanţul logistic: de intruziune, de semnare / autentificare digitală şi de calitate a configurării structurale. Produsul de monitorizare şi avertizare este conceput a fi integrat şi a însoţi permanent programul de securitate cibernetică vizat, atât în faza de dezvoltare, cât şi în faza de exploatare la beneficiari. În permanenţă, acest produs ar detecta anomaliile şi ar oferi îndrumări pentru eliminarea deficienţelor constatate. În acest caz, anomaliile sunt diferenţe de comportament între variante succesive ale programului respectiv. Practic, produsul de amortizare şi avertizare urmăreşte descriptori numiţi „indicatori statistici de comportament”, care nu doar reflectă, dar chiar prognozează efectele pe care   acţiunile secvenţelor de program le vor genera asupra funcţionării sistemului deservit.

Concluzii

E groasă!

Un expert a subliniat că, odată ce hackerii au obţinut acces pe uşa din dos a unor reţele strategice, „ei au abilitatea de a îşi menţine prezenţa stabilită acolo şi să soarbă şi să analizeze datele din flux. Trebuie să acordăm cea mai mare atenţie obiectivelor pe care le urmăresc aceşti actori. Unde ar mai putea fi instalaţi? Oare unde ar mai bântui? Dacă au acces, nu vor renunţa la el cu uşurinţă.” 

În Directiva urgentă emisă în decembrie, CISA a concluzionat că îndepărtarea intruziunii din mediile informatice compromise va fi extrem de complexă şi provocatoare pentru organizaţiile afectate. Vindecarea va fi, deci, dificilă şi de durată, iar convalescenţa presupune măsuri de altă natură, peste investigaţiile şi intervenţiile tehnice la operaţiunea de spionaj SolarWinds (era să-i zic incident informatic!). De aceea, în următorul articolul dedicat Afacerii SolarWinds, „volumul 4”, voi prezenta schimbările structurale preconizate la nivelul instituţiilor naţionale pentru a consolida securitatea şi rezilienţa guvernului, în ansamblu, la şocuri de spionaj cibernetic de dimensiunile Operaţiei SolarWinds.