XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT XİDMƏTİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ MƏRKƏZİ

İnsident bildir

Xəbərlər > SolarWinds-ə hücum edənlər Microsoft koduna çıxış əldə edib (əlavələr ediləcək)

28 Yan 2021

  Microsoft Şirkəti SolarWinds şirkətinin infrastrukturunun komprometasiyası, və Microsoft korporativ şəbəkəsində istifadə olunan SolarWinds Orion şəbəkə infrastrukturunun idarəetmə platformasına backdoor (arxa qapı) daxil edilməsi vasitəsilə həyata keçirilən hücum haqqında əlavə məlumatlar dərc edib. Hadisənin araşdırılması zamanı hücum edən şəxslərin Microsoft-un bəzi korporativ uçot qeydlərinə giriş əldə etdiyi müəyyən edilmişdir. Audit zamanı məlum olmuşdur ki, bu uçot qeydlərindən Microsoft məhsul kodları ilə daxili saxlanc yerindən istifadə olunub.

  İcazəsiz giriş əldə edilən uçot qeydlərinin hüquqları koda baxmağa imkan versə də, dəyişiklik daxil edilməsi imkanı nəzərdə tutulmayıb. Microsoft şirkəti istifadəçiləri əlavə yoxlamanın saxlanc yerinə ziyanverici dəyişikliklərin daxil edilmədiyini təsdiq etdiyinə əmin edib. Həmçinin, hücum edənlərin Microsoft müştərilərinin məlumatlarına çıxış əldə etməsi, təqdim olunan servislərə icazəsiz giriş cəhdləri və Microsoft infrastrukturunun başqa şirkətlərə hücum üçün istifadə olunmasına dair izlərə rast gəlinməyib.

  Xatırladaq ki, SolarWinds şirkətinin komprometasiyası backdoor-un yalnız Microsoft şəbəkəsinə deyil, SolarWinds Orion məhsulundan istifadə edən bir çox digər şirkət və hökumət qurumlarına daxil edilməsinə səbəb olub. SolarWinds Orion platformasının backdoor ilə yeniləməsi 17 mindən artıq SolarWinds müştərisinin infrastrukturunda quraşdırılmış, o cümlədən Fortune 500 siyahısından 500 şirkətin 425-i, ən böyük maliyyə qurumları və banklar, yüzlərlə universitet, ABŞ-ın və Böyük Britaniyanın Silahlı Qüvvələrinin bir çox bölmələri, Ağ Ev, MTA, ABŞ Dövlət Departamenti və Avropa Parlamenti zərər çəkmişdir. SolarWinds müştəriləri arasında Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 və Siemens kimi tanınmış şirkətlər də var.

  Backdoor SolarWinds Orion istifadəçilərinin daxili şəbəkəsinə məsafədən giriş əldə etməyə imkan verib. Ziyanverici dəyişiklik 2020-ci ilin mart ayından iyun ayınadək buraxılan SolarWinds Orion 2019.4 - 2020.2.1 versiyalarının tərkibində təchiz olunub. Backdoor-dan istifadəyə dair ilk izlər 2020-ci ilin payız aylarına təsadüf edir.

  İnsidentin araşdırılması zamanı məlum olmuşdur ki, iri korporativ sistem təchizatçılarının təhlükəsizliyinə laqeyd yanaşılır. Güman edilir ki, SolarWinds infrastrukturuna giriş Microsoft Office 365-də uçot qeydi vasitəsilə əldə olunub. Hücum edənlər rəqəmsal imzaların hazırlanması üçün istifadə olunan SAML sertifikatına giriş əldə edib, onu daxili şəbəkəyə imtiyazlı giriş imkanı verən yeni tokenlərin hazırlanması üçün istifadə edib.

  Bundan əvvəl, hələ 2019-cu ilin noyabr ayında kənar təhlükəsizlik tədqiqatçıları tərəfindən SolarWinds məhsul yeniləmələri ilə FTP-serverə qeyd hüququ ilə giriş üçün adi “SolarWind123” şifrəsindən istifadə olunduğu, həmçinin ictimai git-saxlancında SolarWinds işçilərindən birinin şifrəsinin sızdığı müəyyən edilib. Bundan əlavə, backdoor aşkar olunduqdan sonra SolarWinds bir müddət ziyanverici dəyişikliklərlə yeniləmələri yaymağa davam edib və məhsullarının rəqəmsal imza ilə təsdiqlənməsi üçün istifadə olunan sertifikatı dərhal geri çağırmayıb (problem 13 dekabr tarixində aşkar olunsa da, sertifikat dekabrın 21-i geri çağırılıb). Müştərilərin ziyanverici PT-nın aşkar olunması sistemlərində xəbərdarlıqların əks etdirilməsi ilə bağlı şikayətlərinə cavab olaraq xəbərdarlıqların əsassız olduğu deyilərək, yoxlama funksiyasının deaktiv olunması tövsiyə olunub.

  Bundan əvvəl SolarWinds nümayəndələri MPT-nın işlənib hazırlanma modelini fəal şəkildə tənqid edir, açıq koddan istifadəni “çirkli çəngəllə yeməklə” müqayisə edir və açıq işlənmə modelinin əlfəcinlərin görünməsini istisna etmədiyi, yalnız özəl proqram təminatının koda nəzarəti təmin etdiyini bəyan edirdi.

Əlavə 1: Backdoor-un tərkibinin araşdırılması

Əlavə 2: ABŞ Ədliyyə Nazirliyi hücum edənlərin nazirliyin Microsoft Office 365 platformasına əsaslanan poçt serverinə giriş əldə etdiyi barədə məlumat yayıb. Hücum zamanı nazirliyin 3 minə yaxın əməkdaşının poçt qutularında olan məlumatların sızdığı güman edilir.

  12 yanvar tarixli Əlavə 4: Hücumun təşkilatçıları SolarWinds Orion platformasında backdoor vasitəsilə hücum zamanı əldə etdikləri Microsoft, Cisco, SolarWinds və FireEye məhsul və daxili alətlərinin ilkin mətnlərini satışa çıxarıb. Zərərçəkmiş şirkətlərə də gələcəkdə yayılmasının qarşısını almaq üçün köçürülən kodu geri almaq imkanı verilib.

  13 yanvar tarixli Əlavə 5: SolarWinds şirkətinin dərc etdiyi hesabata əsasən şirkətin infrastrukturuna hələ 2019-cu ilin sentyabr ayında icazəsiz giriş əldə edilib və hücum edənlər uzun müddətdir ki işləyib hazırlama proseslərini araşdırır, yekun backdoor-u son məhsula daxil etməzdən əvvəl kodun dəyişdirilməsini sınayırdı. İlk zərərsiz yoxlama modifikasiyası 2019-cu ilin oktyabr ayında yeniləmələrdən birinə əlavə edilmişdir.