Etterforskningen av forsyningskjedeangrep mot Solarwinds avdekker stadig nye detaljer. Nå er det kjent at det ble brukt i alle fall fire til nå ukjente eksemplarer av skadevare, i tillegg til flere kjente verktøy, for å gjennomføre angrepet.
Tidligere har Digi.no primært omtalt bakdøren kalt Sunburst, også kalt Solorigate, som ble distribuert i en DLL-fil (Dynamic-Link Library) i en oppdatering til Solarwinds' Orion-produkt. Bakdøren skal ha blitt injisert ved hjelp av en skadevare som Crowdstrike kaller for Sunspot.
Teardrop og Raindrop
I tillegg har Fireeye, som selv ble berørt av angrepet, funnet en skadevare de kaller for Teardrop.
Teardrop brukes blant annet til å rulle ut og kjøre en skreddersydd versjon av det kommersielt tilgjengelige Beacon-verktøyet til Cobalt Strike. Beacon er i utgangspunktet ment for simulering av angrep i forbindelse med etisk penetrasjonstesting, men akkurat som mange andre verktøy, kan det misbrukes.
Teardrop skal selv ha blitt levert via Sunburst-bakdøren.
En fjerde skadevare har nylig blitt oppdaget av Symantec, som har gitt den navnet Raindrop. Denne skal ha mye felles med Teardrop, men har blitt brukt i de siste fasene av inntrengningen, og tilsynelatende bare hos spesielt utvalgte ofre.
Også Raindrop laster Cobalt Strike Beacon, men har blant annet pakket det på en annen måte. Raindrop selv er ifølge Symantec kompilert som en DLL-fil, som delvis er basert på kildekoden til arkiv- og komprimeringsverktøyet 7-Zip. Alt tyder på at 7-Zip-koden kun er brukt for å skjule den egentlige funksjonaliteten til filen, for selve 7-Zip-koden blir ikke brukt.
Sikkerhetsselskap: – Så lang tid går det før skadevare oppdages etter infisering
Nytt verktøy
Samtidig med at oppdagelsene offentliggjøres, har det begynt å komme nye verktøy som skal gjøre det enklere for virksomheter å oppdage inntrengning.
Blant disse er et Powershell-basert gratisverktøy fra Fireeye som kan varsle om tegn til inntrengning hos brukere av Azure Active Directory.
Samme aktør, annen angrepsvektor
I kjølvannet av Solarwinds-saken opplyser IT-sikkerhetsselskapet Malwarebytes at også det har blitt utsatt fra angrep fra den samme aktøren som står bak Solarwinds-angrepet, men via en annen inntrengningsvektor basert på misbruk av applikasjoner med privilegert tilgang til Microsoft Office 365 og Azure-miljøer.
Malwarebytes bruker ikke programvare fra Solarwinds, men har likevel registrert at uvedkommende har fått tilgang til et begrenset utvalg av selskapets interne epost. Selskapet fikk den 15. desember et varsel fra Microsoft om mistenkelig aktivitet i en tredjepartsapplikasjon knyttet til Office 365.
Malwarebytes skriver at taktikken, teknikkene og prosedyrene som ble brukt, tyder på at det dreier seg om den samme trusselaktøren som er involvert i Solarwinds-angrepene. Etterforskningen i etterkant indikerer at angriperne har utnyttet et slumrende produkt for epostbeskyttelse til å få tilgang til eposten.
Selskapet mener at det kan være vanskelig for mange virksomheter å sikre bruken av Microsoft Azure, spesielt når man må forholde seg til tredjeparts applikasjoner eller forhandlere. Samtidig anbefaler Malwarebytes et ferskt gratisverktøy fra Crowdstrike som skal kunne identifisere og redusere risikoene i Azure Active Directory.
Ny skadevare-toppliste: Førsteplassen øker betydelig i Norge
