Attacco SolarWinds: cosa sappiamo finora, come difendersi

L’aggiornamento malevolo di SolarWinds Orion
Le build di Orion dalla versione 2019.4 HF 5 alla 2020.2.1 che sono state rilasciate tra marzo e giugno 2020 contengono un componente troianizzato. Nella sua nota con l’analisi dell’attacco, FireEye afferma però che la dinamica richiede una meticolosa pianificazione e l’interazione manuale da parte degli attaccanti.Gli attaccanti hanno modificato un plug-in di Orion chiamato SolarWinds.Orion.Core.BusinessLayer.dll che è distribuito insieme agli aggiornamenti alla piattaforma Orion. Visto che la compromissione è avvenuta nella catena di produzione, il componente modificato con il trojan è stato firmato digitalmente da SolarWinds e riconosciuto quindi come legittimo. La libreria contiene però una backdoor che comunica con server esteri controllati dagli attaccanti. FireEye ha denominato questo componente SUNBURST e ha rilasciato delle regole di detection sotto licenza open source su GitHub.
“Dopo un periodo iniziale di inattività che può durare fino a due settimane, il trojan recupera ed esegue comandi, chiamati jobs, che includono la possibilità di trasferire ed eseguire file, profilare il sistema, riavviare la macchina e disabilitare servizi di sistema – riferiscono gli analisti FireEye –. Il malware maschera la sua attività di rete per simulare quella del protocollo Orion Improvement Program (OIP) e memorizza i risultati delle sue ricognizioni come file di configurazione del plugin Orion che sono in apparenza del tutto legittimi. In questo modo, tutte le attività vengono confuse nel normale comportamento del tool SolarWinds. La backdoor usa inoltre diverse blocklist per identificare antivirus e strument forensici eseguiti come processi, servizi e driver”.
Gli attaccanti hanno tenuto un profilo molto basso, preferendo sottrarre e usare credenziali per eseguire movimenti laterali sulla rete e stabilire un canale stabile per l’accesso remoto. La backdoor è stata usata per installare un “dropper” leggero e mai visto prima (un software in sé innocuo ma in grado di scaricare e installare altri malware) che FireEye ha chiamato TEARDROP. Questo dropper si carica direttamente in memoria e non lascia tracce sugli hard disk. Si ritiene che sia stato utilizzato per installare una versione modificata di Cobalt Strike BEACON, un software commerciale utilizzato dalle aziende di sicurezza che eseguono penetration testing ma che è già stato usato da sofisticati gruppi criminali.
Per evitare di essere individuati, gli attaccanti hanno usato tecniche che prevedono la temporanea sostituzione file. In pratica, hanno modificato un’utility presente sul sistema bersaglio con una contenente codice malevolo, la hanno eseguita, e poi sostituita di nuovo con la versione originale. Questa tecnica è stata usata anche con task pianificati.
Come difendersi da un attacco SolarWinds Orion
Secondo FireEye, questo è uno dei più sofisticati attacchi mai osservati, perché utilizza tecniche per evadere il rilevamento e sfrutta relazioni di trust sui processi software esistenti. L’azienda ritiene tuttavia che questi attacchi possono essere individuati attraverso un monitoraggio attenti e persistente e ha descritto diverse tecniche utili a questo scopo.
“Le entità attaccate possono esaminare i log alla ricerca di sessioni SMB che mostrano accesso a directory non sospette, ma che seguono uno schema cancellazione → creazione → esecuzione → cancellazione → creazione sullo stesso file – scrivono i ricercatori di FireEye -. In aggiunta, si possono analizzare i task pianificati alla ricerca di aggiornamenti temporanei, eseguendo un’analisi della frequenza per individuare delle modifiche anomale ai task eseguiti o task legittimi che attivano eseguibili sconosciuti”.
SolarWinds suggerisce ai clienti di aggiornare il prima possible Orion Platform alla versione 2020.2.1 HF 1 per assicurarsi di utilizzare una versione “pulita” del prodotto. L’azienda prevede anche di rilasciare martedì un nuovo hotfix 2020.2.1 HF 2 che sostituirà i componenti compromessi e aggiungerà ulteriori misure di sicurezza.
Il dipartimento Homeland Security americano ha anche rilasciato una direttiva di emergenza indirizzata alle organizzazioni governative affinché rilevino la presenza del componente compromesso e facciano rapporto.
Gli attacchi di tipo supply-chain non sono una novità, e gli esperti di cybersecurity da anni mettono in guardia aziende e governi sui loro rischi. Questi attacchi sono particolarmente efficaci perché sfruttano una relazione di fiducia esistente tra il bersaglio e i suoi fornitori software, e canali di comunicazione diretta tra macchine delle due organizzazioni, per esempio i meccanismi di aggiornamento del software.
Alcune risorse disponibili
SolarWinds Security Advisory FAQs