Nyheten om att det prominenta it-säkerhetsföretaget Solarwinds blivit hackade kom officiellt den 13 december i år, men indirekt redan veckan innan, den 8 december, när det minst lika prominenta, och ganska hajpade amerikanska it-säkerhetsföretaget Fireeye meddelade att de blivit utsatta för ett dataintrång.

Dataintrånget hos Fireeye medförde att angriparna, då oklart vilka, stulit olika hackarverktyg, så kallade red team-verktyg, som företaget använder när de utför penetrationstest åt sina kunder.

Många av dessa verktyg är välkända hyllvaror, men Fireeye hade också utvecklat egna verktyg eller egna specialvarianter av kända verktyg. Den troligen värsta konsekvensen av detta är att angriparna nu kan utveckla metoder för att undgå upptäckt med hjälp av analys av dessa verktyg.

Använder samma övervakningsverktyg

Ett lyckat dataintrång mot Fireeye är illa nog, men den 13 december gick Solarwinds ut med ett officiellt uttalande om att de blivit hackade, och det stod då klart att hacket mot FireEye var en direkt konsekvens av hacket mot Solarwinds. Fireeye, liksom hundratusentals andra företag, använde nämligen ett övervakningsverktyg vid namn Orion från Solarwinds.

Offentliggörandet gjordes gemensamt av Solarwinds, Fireeye, Microsoft och den federala polisen FBI.

Inte nog med att angriparna lyckats ta sig in i Solarwinds nätverk, de lyckades dessutom utföra ett av de mer förödande typerna av manipulation inne i systemet, en så kallad supply chain-attack, eller att få in skadlig kod i kod som distribueras till tredje part.

De företag och organisationer som använder Solarwinds Orion-system får regelbundna uppdateringar, som sig bör, liksom för de flesta andra applikationer. Uppdateringar från utvecklare och leverantörer av mjukvara brukar vara digitalt signerade så att mottagaren kan försäkra sig om att uppdateringen kommer från rätt utgivare och åtminstone ur den synvinkeln går att lita på.

Tar kontakt med en kontrollserver

Därför är det förstås särskilt lömskt att angriparna lyckades placera in en så kallad bakdörr i en fil som ingick i uppdateringen. Filen i fråga heter Solarwinds.Orion.Core.BusinessLayer.dll och laddas in av binären SolarWinds.BusinessLayerHost.exe. När dll-filen väl laddats in tar bakdörren kontakt med angriparnas kontrollserver på olika slumpmässiga subdomäner till domänen avsvmcloud[.]com.

Fireeye har givit bakdörren öknamnet Sunburst och Microsoft kallar den Solorigate, och den har även tilldelats två olika trackingkoder: CVE-2020-14005 och CVE-2020-13169.

Läsare med intresse för alla tekniska detaljer kan ta del av en artikel från Microsoft här.

Den smittade dll-filen har varit inkluderad uppdateringar från Solarwinds mellan mars och juni i år, vilket betyder att angriparna penetrerat Solarwinds nätverk och i förlängningen byggsystemet för uppdateringa en god tid innan dess. En rapport från Kim Zetter pekar på att förövarna kan ha tagit sig in Solarwinds system så tidigt som i oktober förra året.

Enligt Zetter restes varningsflaggorna hos FireEye när en användare försökte lägga till en nätverksenhet i företagets system för multifaktorautentisering med hjälp av stulna användaruppgifter. Systemet varnade då användaren och företagets säkerhetsteam.

Omfattande kundlista

Det kanske mest hårresande med hela affären är SolarWinds kundlista som förutom FireEye inkluderar samtliga av USA:s försvarsgrenar, flera säkerhetsmyndigheter i USA och i andra länder, och många företag och organisationer, varav många högprofilerade eller med säkerhetsklassning. Inalles har cirka 80 000 organisationer installerat den infekterade dll-filen, varav ett tiotal även i Sverige, till exempel Rymdbolaget, Volvo Cars och Ericsson.

Microsoft, som själva blev infekterade, rapporterar att de varnat över 40 av sina kunder men nämner inga namn. Microsoft säger också att 80 procent av offren ligger i USA och att 44 procent verkar inom it-branschen, 18 procent tillhör offentlig förvaltning, 18 procent är tankesmedjor och andra opinionsbildare och nio procent är kontrakterade leverantörer till olika statliga myndigheter.

Det betyder förvisso inte att alla dessa 80 000 organisationer har blivit hackade per se, eftersom angriparna är selektiva med vilka de väljer ut att ”gå vidare med”. Endast måltavlor med tillräckligt högt värde för förövarna har fått påhälsning i ett andra steg. Bakdörren ligger också vilande i minst två veckor innan den ”ringer hem”.

Vilka ligger då bakom dessa attacker? Mediarapporter, baserade på diverse indicier som framkommit, pekar på den ryska hackergruppen APT29 med smeknamnet Cozy Bear som anses tillhöra den ryska säkerhetstjänsten SVR, men inget av de direkt inblandade har gjort ett distinkt utpekande. Attribution är i allmänhet svårt och fullt av fällor och medvetet utlagda villospår.

Ryssland förnekar inblandning

Den amerikanska utrikesministern Mike Pompeo går dock ett steg längre och pekar finger åt Ryssland, som i sin tur via ambassaden i Washington förnekar all inblandning.

Säkerhetsbranschen gör nu vad den kan för att stoppa spridningen och minimera skadorna. Microsoft lägger den famösa filen i karantän sedan den 16 december genom sin tjänst Microsoft Defender och sajten Malwarebites visar vilka antivirussystem som detekterar dll-filen.

Om du är ansvarig för en organisation som använder SolarWinds produkter kan du konsultera deras rådgivning eller FAQ, som bland annat innehåller information om hur du installerar en ren version av uppdateringen.

Microsoft, Fireeye och Godaddy har även tagit fram en så kallad ”kill switch” som troligen oskadliggör bakdörren, men tar inte bort den. När den skadliga binären försöker ta kontakt med sin kontrollserver gör den ett dns-uppslag. Om den ip-adress som returneras ligger inom vissa intervall, till exempel ip-intervall som ägs av Microsoft, kommer bakdörren att terminera sig själv och kommer inte att exekvera igen – den begår helt enkelt ett slags digitalt harakiri om den upptäcker att den är upptäckt.

Fireeye poängterar dock att detta inte betyder att saken är klar, angriparna kan mycket väl ha installerat andra bakdörrar.

Läs också:
Solarwinds hackat en vecka efter Fireeye – skadlig kod i företagets uppdateringar
Solarwinds: 18 000 organisationer installerade ryska bakdörren