Hakerski napad koji je američku tehnološku tvrtku SolarWinds koristio kao odskočnu dasku za kompromitiranje cijelog niza američkih vladinih agencija najveći je i najsofisticiraniji napad koji je svijet ikad vidio – izjavio je Brad Smith, predsjednik Microsofta. Operacija, koja je otkrivena u prosincu i za koju je američka vlada tvrdi da ju je vjerojatno organizirala Rusija premda Rusija to negira, “probila” je softver tvrtke SolarWinds Corp, pružajući hakerima pristup tisućama tvrtki i državnih ureda koji su koristili njezine proizvode.
Hakeri su tako dobili pristup e-porukama u ministarstvu financija, pravosuđa i trgovine i drugim agencijama SAD-a. Stručnjaci za kibernetičku sigurnost utvrdili su da bi moglo potrajati mjesecima dok se identificiraju ugroženi sustavi i protjeraju hakeri, a isto to najavio je i američki predsjednik Joe Biden, proteklog tjedna ujedno tražeći redovita izvješća agenata zaduženih za sigurnost. Ovaj hakerski napad potencijalno je ugrozio do 18.000 kupaca SolarWindsa te su se hakeri vjerojatno oslanjali na stotine inženjera, a kako je ustvrdio Smith, u napadu je moralo sudjelovati njih i više od 1000. Kako se dogodio ovakav upad, gdje su oni koji paze na sigurnost zakazali i kako se braniti od ovakvih napada, upitali smo domaće stručnjake dr. sc. Tonimira Kišasondija, suosnivača Apature, i Dejana Strbada, suosnivača Ascalie, koji su pratili cijelu priču, a sigurnost IT sustava i infrastrukture im je područje interesa. Krenimo redom. Kako je uopće bilo moguće da zbog napada na jednu tvrtku nastrada cijeli lanac korisnika?
– Ono što se za sada zna jest da je napad bio fokusiran prvo na zaposlenike tvrtke SolarWinds, nakon čega su napadači pažljivo, nekoliko mjeseci, proučavali sustave unutar tvrtke te postavili maliciozni kod koji se potom distribuirao kao dio legitimnog proizvoda, tj. softvera Orion – kazuje nam T. Kišasondi, – Kada su brojne tvrtke preuzimale Orion da ga postave na svoje sustave, tada su uz legitimni softver dobile i integrirani maliciozni kod napadača. Orion kao softver ima veliku razinu privilegija u mreži i ima pristup do gotovo svih poslužitelja ili mrežnih uređaja u nekoj organizaciji.
Kad je zakrpa maliciozna
Orion je, naime, jedan od najpopularnijih alata koje nudi tvrtka SolarWinds i koristi se za tehnički nadzor sustava. Orion i ostali alati iz ponude SolarWindsa popularni su u većim mrežama kao što su telekomi, banke, industrijska postrojenja ili mreže i sustavi srednjih i velikih organizacija jer omogućavaju nadzor poslužitelja, mrežne opreme i raznih servisa s ciljem detekcije problema, sprečavanja ispada ili identifikacije nekih stanja sustava koji bi mogli ugroziti normalan rad i dostupnost usluge – objasnio je Kišasondi.
– Takav softver interesantan je napadačima jer, ako uspiju postaviti maliciozni kod u softvere koje koristi veliki broj korisnika, onda je to kao da su izravno zarazili te korisnike. Takve napade zovemo napadima na lanac opskrbe, tj. “Supply Chain Attacks”. A SolarWindsovi alati koriste se u gotovo svim većim tvrtkama na svijetu, velikom broju državnih agencija u SAD-u i gotovo svim tvrtkama s liste Fortune 500 – kazao je Kišasondi.
Dejan Strbad, pak, nastavlja te kaže kako je SolarWinds ciljano odabran ne kao najslabija karika već kao tvrtka čiji softver ima širok doseg, interesantnu listu klijenata i za napadača koji kompromitira taj sustav otvara vrata do sustava (infrastrukture) njihovih korisnika. Napadači su, dakle, uspjeli pristupiti kodu SolarWindsovih proizvoda, potom su oponašali “kućnog” developera i pomalo ubacivali elemente koda koji su im omogućavali pristup sustavu i daljnje kretanje kompromitiranim sustavima. Pri tom su koristili propuste drugih softvera dostupnih u sustavima korisnika.
– Krajnji korisnici nisu bili svjesni da instaliranjem zakrpe koja uobičajeno služi tomu da poboljša sustav i ispravlja propuste prihvaćaju i trojanskog konja. Jer, dodaje Strbad, zakrpama se vjeruje pa su ubacivanjem malicioznog koda upravo u njih i nudeći zakrpe kao rješenje ranjivosti napadači uspjeli proći ispod radara standardnih sigurnosnih provjera.
Strbad ističe, osim državnih agencija i tvrtki, zarazu “trojanskom zakrpom” potvrdili su mnogi renomirani IT igrači poput Microsofta, Cisca, Intela, Nvidije, Deloittea.
Odlično koordiniran napad
– Što se krivnje tiče, koliko god otrcano zvučalo, ona leži u načinu na koji funkcionira softverski svijet u koji je uključeno puno privatnih tvrtki, vanjskih izvođača i teško je takav sustav pratiti, odnosno potencijalni rizici su na svakome koraku. Primjerice, zbog stanja na tržištu računalnih stručnjaka racionalan potez SolarWindsa je bilo outsourcanje radne snage u istočnoj Europi, međutim stručnjaci sumnjaju da je napad izvršen baš kroz tu ulaznu točku – smatra Strbad.
Dodatan problem je i nestašica sigurnosnih stručnjaka kao i nedovoljno visoka razina svijesti o tome što u današnje vrijeme računalni sustavi predstavljaju. Računalni sustavi (digitalni svjetovi) isprepleteni su s našim životima, oni sežu izvan digitalne sfere i kao takvi su žila kucavica modernog društva. Novo-staro normalno je da su digitalni sustavi izloženi napadima – kazuje Strbad.
– Po načinu na koji je maliciozni kod pripremljen, kako je operacija vođena i kolika je razina pažnje usmjerena na detalje, možemo zaključiti da je riječ o vrlo sofisticiranom napadaču. Takve grupe se u praksi nazivaju APT (Advanced Persistant Threat). U spomenuti broj od 1000 inženjera/hakera osobno baš ne vjerujem i mislim da je poprilično prenapuhan. Osobno nisam mogao pronaći informaciju koja bi potvrdila tu tezu, izuzev izjave u kojoj je spomenut taj broj – ističe Kišasondi.
Napad je bio odlično koordiniran, napadač se širio dosta oprezno, ali to ne znači da je 1000 “eksperata” bilo umiješano u napad. O takvim napadima ne treba razmišljati kao o nekom fizičkom napadu ili ratovanju, već kao o špijunaži, gdje je ključ strpljivost, upornost i obraćanje pažnje na detalje – objašnjava T. Kišasondi.
U izjavi koju je objavila Bijela kuća tvrdi se da je napad vjerojatno potekao iz Rusije. Poduzeća koja su analizirala i obrađivala incident i poduzeća koja su bila žrtve napada još se nisu izjasnila o tome odakle je napad došao.
No svakako se radi o sofisticiranom napadu kakav su u mogućnosti izvesti jedino državno sponzorirani napadači, smatra Strbad jer, dodaje, cilj ovog napada nije bio nanijeti direktnu štetu SolarWindsu ni njegovim klijentima, već je u pitanju puno perfidnija igra, cilj je bio domoći se informacija, odnosno intelektualnog vlasništva (industrijska špijunaža) i pristupiti internim informacijama svih klijenata.
Microsoft je jedna od žrtava napada, koristio je SolarWindsove alate za nadzor svoje mreže i poslužitelja i u nekom trenutku također povukao i instalirao zaraženu verziju Oriona u vlastitu mrežu. Microsoft koji posluje s nizom partnera i prisutan je na gotovo svim računalima, priznao je napad, no tvrde da njihovi sustavi nisu bili korišteni kao odskočna daska za napade prema trećim stranama, odnosno prema korisnicima Microsoftovih proizvoda. Usto tvrdi kako hakeri/kriminalci nisu pristupili korisničkim podacima. Ono što napadači jesu uspjeli jest vidjeti dio izvornog koda nekih Microsoftovih proizvoda.
– Napadači zbog pristupa izvornom kodu nisu mogli ništa posebno napraviti jer je pristup za gledanje tog koda otvoren gotovo svim inženjerima u Microsoftu, ali se ne može mijenjati bez posebnog procesa. Kada tražite ranjivosti u nekoj aplikaciji, uvid u izvorni kod znatno pomaže, ali Microsoft je također poznat da u zadnje vrijeme jako puno vremena i truda ulaže u sigurnost aplikacija, tako da osobno mislim da tu napadači nisu mogli imali neke koristi – uvjeren je Kišasondi. Naravno da možemo pretpostaviti da je napadačima bilo interesantno ostvariti pristup prema cloud uslugama ili softveru koje nudi Microsoft jer uz Google, Microsoft je jedan od dva najveća pružatelja usluga cloud mailova i pohrane dokumenata u cloudu. Napad jest ozbiljan i kompleksan, ali takve se stvari događaju dosta često. Sada se radi na detekciji, uklanjanju štete, ali priča ni izbliza nije gotova jer, osim SolarWindsa, Microsofta i državnih agencija u SAD-u, zaražen je niz drugih poduzeća i tek će se vidjeti koliki su uistinu razmjeri napada i štete.
Otvorenost kao uvjet
– Dobro je da su tehnički detalji napada i informacije o napadu javno dostupni. Tim činom, kada se javno objavljuju tehnike, procedure i alati koje koriste napadači, znatno im se otežava i ujedno se povećava šansa za otkrivanje napadača jer sad i druge organizacije mogu koristiti te informacije da poboljšaju svoje stanje sigurnosti ili pronađu maliciozni kod u svojoj mreži – objašnjava Kišasondi.
Ipak, cilj napadača bilo je poduzeće unutar SAD, a namjera je bila da se ‘upadne’ u sustave svih njegovih klijenata i time omogući špijunaža i prikupljanje podataka svih ostalih poduzeća i državnih agencija. Infrastruktura koja je korištena za napad je bila unutar SAD-a, gdje je bila izvan nadzora. Tu se sad vidi nekoliko stvari, jedna je da i privatna poduzeća mogu biti i jesu meta napada koji dolaze od drugih državnih službi, pogotovo ako njihove proizvode, primjerice softver, koriste neke organizacije koje su zanimljive kao meta špijunaže. Drugo što vidimo jest da razina složenosti napada raste iz godine u godinu te je potrebno preventivno djelovati i postaviti sustav sigurnosti u organizaciji jer, ako priprema za obranu nije odrađena, kasnije je vrlo teško uopće i detektirati neki napad ili vidjeti što se dogodilo.
Dodatna zanimljivost, tvrtka FireEye prva je obznanila da je SolarWinds kompromitiran, to su učinili prije bilo koje državne agencije čiji je zadatak zaštita informacijskih sustava. Najgore u cijeloj priči je to da zakonski FireEye nije bio obvezan to obznaniti iako praksa jest da se stvari, posebice ovako velike, ne zataškavaju. Da je ovo zataškano, doseg štete sigurno bi bio još veći jer procjenjuje se da su napadači iskorištavali propuste nekoliko mjeseci prije nego što su otkriveni – dodaje Dejan Strbad.
Ovo samo govori o razini sofisticiranosti napada i vještini napadača koji iza napada stoje. Uz tehnička rješenja, primjenu nekih novih principa i širenje shvaćanja što sve predstavlja faktore rizika, svakako je potrebna i određena regulativa za kritične sustave (državna tijela, elektroenergetski sustav i sl.).
Među stvarima koje bi nova administracija predsjednika Bidena mogla progurati jest i zakon koji bi obvezao kompanije da obavijeste javnost u slučaju da su kompromitirane bez obzira na vrstu kompromitacije.
SolarWinds definitivno je jedan od većih, ako ne i najveći sigurnosni incident. Metode štićenja od hakerskih napada sve su naprednije, ali isto tako su i napadači sve napredniji. Ovo je vječna borba i valja imati na umu da je napadaču dovoljno da uspije samo jednom, dok oni koji štite sustave moraju uspjeti obraniti sustav svaki put – zaključuje Strbad.
Solarwinds-ov software je u srži problema sa Dominion glasačkim uređajuma i elektroničkoj izbornoj krađi u SAD-u. To je ono što su sudovi odbili gledati a policija odbila istraživati.