Microsoft Şirkəti SolarWinds şirkətinin infrastrukturunun komprometasiyası, və Microsoft korporativ şəbəkəsində istifadə olunan SolarWinds Orion şəbəkə infrastrukturunun idarəetmə platformasına backdoor (arxa qapı) daxil edilməsi vasitəsilə həyata keçirilən hücum haqqında əlavə məlumatlar dərc edib. Hadisənin araşdırılması zamanı hücum edən şəxslərin Microsoft-un bəzi korporativ uçot qeydlərinə giriş əldə etdiyi müəyyən edilmişdir. Audit zamanı məlum olmuşdur ki, bu uçot qeydlərindən Microsoft məhsul kodları ilə daxili saxlanc yerindən istifadə olunub.

  İcazəsiz giriş əldə edilən uçot qeydlərinin hüquqları koda baxmağa imkan versə də, dəyişiklik daxil edilməsi imkanı nəzərdə tutulmayıb. Microsoft şirkəti istifadəçiləri əlavə yoxlamanın saxlanc yerinə ziyanverici dəyişikliklərin daxil edilmədiyini təsdiq etdiyinə əmin edib. Həmçinin, hücum edənlərin Microsoft müştərilərinin məlumatlarına çıxış əldə etməsi, təqdim olunan servislərə icazəsiz giriş cəhdləri və Microsoft infrastrukturunun başqa şirkətlərə hücum üçün istifadə olunmasına dair izlərə rast gəlinməyib.

  Xatırladaq ki, SolarWinds şirkətinin komprometasiyası backdoor-un yalnız Microsoft şəbəkəsinə deyil, SolarWinds Orion məhsulundan istifadə edən bir çox digər şirkət və hökumət qurumlarına daxil edilməsinə səbəb olub. SolarWinds Orion platformasının backdoor ilə yeniləməsi 17 mindən artıq SolarWinds müştərisinin infrastrukturunda quraşdırılmış, o cümlədən Fortune 500 siyahısından 500 şirkətin 425-i, ən böyük maliyyə qurumları və banklar, yüzlərlə universitet, ABŞ-ın və Böyük Britaniyanın Silahlı Qüvvələrinin bir çox bölmələri, Ağ Ev, MTA, ABŞ Dövlət Departamenti və Avropa Parlamenti zərər çəkmişdir. SolarWinds müştəriləri arasında Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 və Siemens kimi tanınmış şirkətlər də var.

  Backdoor SolarWinds Orion istifadəçilərinin daxili şəbəkəsinə məsafədən giriş əldə etməyə imkan verib. Ziyanverici dəyişiklik 2020-ci ilin mart ayından iyun ayınadək buraxılan SolarWinds Orion 2019.4 - 2020.2.1 versiyalarının tərkibində təchiz olunub. Backdoor-dan istifadəyə dair ilk izlər 2020-ci ilin payız aylarına təsadüf edir.

  İnsidentin araşdırılması zamanı məlum olmuşdur ki, iri korporativ sistem təchizatçılarının təhlükəsizliyinə laqeyd yanaşılır. Güman edilir ki, SolarWinds infrastrukturuna giriş Microsoft Office 365-də uçot qeydi vasitəsilə əldə olunub. Hücum edənlər rəqəmsal imzaların hazırlanması üçün istifadə olunan SAML sertifikatına giriş əldə edib, onu daxili şəbəkəyə imtiyazlı giriş imkanı verən yeni tokenlərin hazırlanması üçün istifadə edib.

  Bundan əvvəl, hələ 2019-cu ilin noyabr ayında kənar təhlükəsizlik tədqiqatçıları tərəfindən SolarWinds məhsul yeniləmələri ilə FTP-serverə qeyd hüququ ilə giriş üçün adi “SolarWind123” şifrəsindən istifadə olunduğu, həmçinin ictimai git-saxlancında SolarWinds işçilərindən birinin şifrəsinin sızdığı müəyyən edilib. Bundan əlavə, backdoor aşkar olunduqdan sonra SolarWinds bir müddət ziyanverici dəyişikliklərlə yeniləmələri yaymağa davam edib və məhsullarının rəqəmsal imza ilə təsdiqlənməsi üçün istifadə olunan sertifikatı dərhal geri çağırmayıb (problem 13 dekabr tarixində aşkar olunsa da, sertifikat dekabrın 21-i geri çağırılıb). Müştərilərin ziyanverici PT-nın aşkar olunması sistemlərində xəbərdarlıqların əks etdirilməsi ilə bağlı şikayətlərinə cavab olaraq xəbərdarlıqların əsassız olduğu deyilərək, yoxlama funksiyasının deaktiv olunması tövsiyə olunub.

   Hücum barədə əlavə məlumatlar:

• ABŞ Ədliyyə Nazirliyi hücum edənlərin nazirliyin Microsoft Office 365 platformasına əsaslanan poçt serverinə giriş əldə etdiyi barədə məlumat yayıb. Hücum zamanı nazirliyin 3 minə yaxın əməkdaşının poçt qutularında olan məlumatların sızdığı güman edilir.
• Hücumun təşkilatçıları SolarWinds Orion platformasında backdoor vasitəsilə hücum zamanı əldə etdikləri Microsoft, Cisco, SolarWinds və FireEye məhsul və daxili alətlərinin ilkin mətnlərini satışa çıxarıb. Zərərçəkmiş şirkətlərə də gələcəkdə yayılmasının qarşısını almaq üçün köçürülən kodu geri almaq imkanı verilib.
• SolarWinds şirkətinin dərc etdiyi hesabata əsasən şirkətin infrastrukturuna hələ 2019-cu ilin sentyabr ayında icazəsiz giriş əldə edilib və hücum edənlər uzun müddətdir ki işləyib hazırlama proseslərini araşdırır, yekun "backdoor"u son məhsula daxil etməzdən əvvəl kodun dəyişdirilməsini sınayırdı. İlk zərərsiz yoxlama modifikasiyası 2019-cu ilin oktyabr ayında sistem yeniləmələrindən (update) birinə əlavə edilmişdir.