SolarWinds hackat en vecka efter FireEye – skadlig kod i företagets uppdateringar

SolarWinds är ett mycket välrenommerat amerikanskt företag inom it-säkerhet. Nu meddelar företaget att de råkat ut för ett hack mot leveranskedjan av uppdateringar för övervakningsapplikationen Orion. Detta sker bara en vecka efter att det lika välrenommerade FireEye meddelade att de blivit hackade, skriver The Register.

FireEye är också direkt inblandade i utredningen av hacket mot SolarWinds, tillsammans med federala polismyndigheten FBI. Till skillnad från fallet med FireEye pekar man nu ut en specifik grupp som misstänkta för attacken – den ryska statssponsrade hackergruppen APT29 också kända som Cozy Bear.

Installerat främmande kod

Flera faktorer gör angreppet mycket allvarligt, dels handlar det om en attack mot leveranskedjan av uppdateringar för applikationen Orion. När SolarWinds kunder installerat en uppdatering från SolarWinds har de samtidigt installerat den främmande koden.

Dels handlar det om just kunderna – det är klart enklare att lista vilka S&P 500-företag, teleoperatörer, försvarsgrenar och säkerhetskritiska myndigheter som inte står på SolarWinds kundlista.

Om misstankarna stämmer har Cozy Bear-gruppen lyckats komma åt SolarWinds innersta system, där de fått in sin skadliga kod i en dll-fil med namnet SolarWinds.Orion.Core.BusinessLayer.dll – en digitalt signerad systemfil som nu innehåller en bakdörr som kommunicerar över http med tredjepartsservrar.

Ligger dold i veckor

Dll-filen har alltså distribuerats till SolarWinds kunder genom fullt legitima uppdateringar. När den väl installerats ligger den tyst i två veckor, men när den väl vaknar tar den emot och exekverar kommandon som inkluderar att skicka och ta emot filer, exekvera program, profilera värdsystemet, starta om maskiner och stänga av systemtjänster.

Angriparna måste också ha utfört en grundlig analys av SolarWinds protokoll och andra systemspecifika egenskaper. Den skadliga koden gömmer sin aktivitet i SolarWinds egna protokoll och är mycket svår att upptäcka. Angriparna måste ha penetrerat SolarWinds system långt före mars i år, företagets vd Kevin Thompson skriver att SolarWinds skickat ut den infekterade dll-filen i uppdateringar mellan mars och juni i år.

Läs också:
FireEye hackat av främmande makt – hemliga ”Red Team”-vapen stulna
MSB varnar för växande hot mot vården – ransomware ökar kraftigt