RiskRecon to firma należąca do grupy Mastercard. Jej początki sięgają roku 2011, kiedy Kelly White postanowił stworzyć system, który jest w stanie zmierzyć jakość programu bezpieczeństwa dowolnej firmy monitorując jej obecność w Internecie. Jednocześnie postanowił odejść od starego modelu zarządzania ryzykiem opartym o kwestionariusze i stworzyć model, w którym dowolna organizacja mogłaby zaufać obiektywnemu źródłu, które automatycznie wskazałoby konkretne luki w programach bezpieczeństwa i wydajności organizacji. Po okresie testów i weryfikacji firma wystartowała w październiku 2015 roku. RiskRecon ma swoją siedzibę w Salt Lake City, w Bostonie i przedstawicielstwa na całym świecie. Właśnie opublikowała raport, który kreuje „krajobraz po bitwie”, czyli po włamaniu „SolarWinds”. Prezentowane dane pokazują skalę, ale też niefrasobliwość w interpretacji całego zdarzenia.
Jak w dużym skrócie wyglądał atak „SolarWinds”?
Hakerzy, prawdopodobnie wspierani przez Rosję, włamali się do firmy zarządzającej IT SolarWinds z Teksasu i wykorzystali ten wektor do dostarczenia złośliwego oprogramowania o nazwie Sunburst do około 18 000 klientów, którzy korzystali z produktu monitorującego Orion. Kilkaset ofiar, które zainteresowały hakerów, otrzymało inne ładunki, zapewniające głębszy dostęp do ich środowisk.
Druga, pozornie niepowiązana grupa, również zaatakowała SolarWinds, dostarczając część złośliwego oprogramowania o nazwie Supernova. Dostawa Supernova wymagała dostępu do docelowej sieci i obejmowała wykorzystanie luki zero-day w Orionie, którą SolarWinds załatał wkrótce po tym, jak jej istnienie wyszło na jaw.
Analiza RiskRecon
Według RiskRecon, wiele firm nadal udostępnia SolarWinds Orion w Internecie i nie podjęło żadnych działań po ujawnieniu ogromnego naruszenia.
Agencja oceny ryzyka podała w piątek, że zaobserwował 1785 organizacji “wystawiających Oriona na Internet” 13 grudnia 2020 r., Wkrótce po ujawnieniu naruszenia liczba ta spadła do 1330 do 1 lutego 2021 r. Jednak tylko 8% z tych firm zastosowało aktualizacja Oriona (2020.2.4) wydana przez SolarWinds w odpowiedzi na naruszenie! (dane podane za Securityweek).
Jeszcze bardziej niepokojące jest to, że 4% firm, które ujawniają Oriona, nadal używa wersji zawierającej kod Sunburst. Co więcej, jedna trzecia tych organizacji nadal nie załatała luki wykorzystywanej przez Supernova!
RiskRecon podaje, że lista organizacji obsługujących podatne na ataki instancje Orion obejmuje agencje rządowe i lokalne, uniwersytety, dostawców usług hostingowych i firmy z listy Fortune 500.
Co na to Microsoft?
Microsoft również był ofiarą tego ataku. W pierwszej fazie pojawiły się nawet plotki, że hakerzy uzyskali dostęp do kodów źródłowych Windowsa. Na szczęście okazało się to nieprawdą. Obecnie upubliczniają informację, pokazującą skalę tego ataku. Podobno aż 1000 hakerów było zaangażowanych w atak SolarWinds
Co ciekawe, kiedy w styczniu w artykule opublikowanym przez New York Times stwierdzono, że niektórzy urzędnicy wywiadu doszli do wniosku, że w ataku najprawdopodobniej uczestniczyło „ponad tysiąc rosyjskich inżynierów oprogramowania”. Niektórzy specjaliści od cyberbezpieczeństwa kwestionowali wówczas te twierdzenia.
Jednak Brad Smith, prezes i dyrektor ds. Prawnych w Microsoft, powtórzył w miniony weekend w wywiadzie na ten temat podczas programu CBS 60 minut.
„Kiedy analizowaliśmy wszystko, co widzieliśmy w Microsoft, zadaliśmy sobie pytanie, ilu inżynierów prawdopodobnie pracowało nad tymi atakami. A odpowiedzią, do której doszliśmy, było z pewnością ponad 1000” – stwierdził Smith, dodając, że Microsoft zlecił 500 inżynierom zbadanie ataku.
Smith powiedział również, że osoby atakujące napisały około 4000 wierszy kodu, które następnie zostały dostarczone klientom produktu Orion firmy SolarWinds.
„Myślę, że z perspektywy inżynierii oprogramowania można powiedzieć, że jest to największy i najbardziej wyrafinowany atak, jaki kiedykolwiek widział świat” – powiedział Smith.
Podsumowanie
Pojawiło się wiele tekstów opisujących ten atak, ale dopiero powyższe informacje pozwalają rzetelnie dyskutować o jego skali. Jednocześnie możemy pokazać ryzyka przed jakimi staje dzisiaj cyberbezpieczeństwo. Czasy, w których pryszczaty nastolatek cieszył się, że podmienił treści na stronie korporacji bezpowrotnie się skończyły. Walka w cyberprzestrzeni to teraz działania, w które zaangażowane są państwa, technologia i tysiące wykwalifikowanych specjalistów. Teraz głównym zagrożeniem stają się nie gangi chcące wyłudzić pieniądze z podstawionej faktury, ale potężni aktorzy zdolni do brutalnych działań przeciw konkurencji, czy gracze kierujący swoje zainteresowanie na infrastrukturę krytyczną. Czy na pewno w Polsce mamy tego świadomość i czy jesteśmy dobrze przygotowani?