Sunburst

Hackerne som angrep Fireeye kan ha skjult bakdør hos tusenvis av virksomheter 

Utnyttet legitim programvareoppdatering fra Solarwinds.

En injisert bakdør i Orion-programvaren til Solarwindows har blitt utnyttet i flere angrep, trolig helt siden mars i år.
En injisert bakdør i Orion-programvaren til Solarwindows har blitt utnyttet i flere angrep, trolig helt siden mars i år. (Bilde: Flickr/Jeremy Brooks (CC BY-NC 2.0))

Utnyttet legitim programvareoppdatering fra Solarwinds.

Metoden som nylig ble brukt for å angripe det anerkjente IT-sikkerhetsselskapet Fireeye, har også blitt utnyttet i flere andre angrep i det siste. Dette inkluderer blant annet flere amerikanske departementer og minst to store, danske virksomheter.

Fireeye mener den statssponsede, russiske hackergruppen Cozy Bear står bak angrepene. 

Programvareoppdatering

Felles for virksomhetene som har blitt angrepet, er at de benytter programvareplattformen Orion fra selskapet Solarwinds. Orion er den sentrale plattformen som benyttes av en rekke verktøy som Solarwinds' kunder kan benytte for å overvåke og administrere nettverk og servere, både lokalt hos kundene og i skytjenester.

I en fersk rapport skriver selskapet at en ekstern aktør har satt inn en sårbarhet i Orion, og at denne har distribuert ut til kundene gjennom legitime programvareoppdateringer. Det dreier seg altså om et såkalt forsyningskjedeangrep. 

Dette minner mye om hvordan kryptoviruset NotPetya opprinnelig ble distribuert. Det var inkludert i en oppdatering til den ukrainske bokføringsprogramvaren MeDoc.

Les også

Opptil 18.000 nedlastinger

Oppdateringene skal ha vært tilgjengelige for kundene i periode mars til juni 2020. Sårbarheten, som praksis har fungert som en bakdør, har ikke eksistert Orion-kildekode, noe som gjør at selskapet konkluderer med at den har blitt satt inn i stadiet hvor programvaren bygges. Fireeye kaller bakdøren for Sunburst.

Ifølge rapport mener Solarwinds at i underkant av 18.000 kunder har lastet ned den aktuelle programvareoppdateringen. Selskapet skal søndag har kontaktet disse og andre aktive kunder med Orion-programvaren, for å tilby råd om tiltak og en første «hotfix» for delvis å fjerne sårbarheten. En andre hotfix skal gis ut i dag. Mer informasjon finnes på denne siden.

Omgår flerfaktor autentisering

Etter å ha utnyttet bakdøren i Orion-programvaren, ser det ut til at angriperne har brukt en kreativ måte å omgå flerfaktor autentisering på, noe som har gitt tilgang til epostkontoer i lokale installasjoner av Microsoft Exchange. IT-sikkerhetsselskapet Volexity skal ha observert at den samme metoden har blitt brukt i tre tidligere angrep mot en amerikansk tenketank. Volexity har kalt trusselaktøren bak disse angrepene for Dark Halo.

Ble selv angrepet via Office 365

Solarwinds antar at hackergruppen har fått tilgang til selskapets interne systemer via Microsoft Office 365. Selskapet samarbeider nå med Microsoft om å etterforske hvilke andre konsekvenser en slik kompromittering kan ha fått. 

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen