V době, kdy čtete tento článek, informace o nejnovějších supply chain útocích prošly i mainstreamovými médii a každý už ví, že jsme svědky jednoho z nejzávažnějších kybernetických útoků za minimálně poslední dekádu. Můžeme debatovat o tom, zda špionáž naplňuje definici kybernetického útoku, nebo ne, na čem se však shodneme je, že rozsah kompromitace patří spíše do špionážních filmů z konce minulého století, než do reality roku 2020.

Nejprve FireEye, jedna z nejlepších kyberbezpečnostních firem na světě, pak americká ministerstva, Pentagon, jaderné laboratoře v Los Alamos, Microsoft, Cisco – toto je jen krátký výčet nejdůležitějších obětí supply chain útoku přes software na provozní monitoring Orion od společnosti SolarWinds. Pro krátké opáčko připomenu, že supply chain útok je vlastně útok přes důvěryhodného dodavatele, v případě softwaru dokáží útočníci „propašovat“ do legitimním softwaru svůj škodlivý kód. V tomto konkrétním případě útočníci napadli společnost SolarWinds a do kódu softwaru Orion dokázali přidat svůj kód s backdoorem. Následně byl po aktualizaci tohoto softwaru u zákazníka tento backdoor spuštěn a umožnil útočníkům přístup do infrastruktury zákazníka, který software používal.

Něco podobného jsme už viděli několikrát, zmiňme např. supply chain útok přes CCleaner nebo útoky malwarem NotPetya, který byl šířen přes hacknuté aktualizace účetního softwaru MeDoc. Až ironicky vyznívá to, že SolarWinds Orion je platforma využívaná zejména na provozní monitoring a správu síťové infrastruktury, aplikací, cloudových aktiv apod. Nejnověji se ukazuje, že aktualizace, které obsahovaly backdoor byly distribuovány mezi březnem a červnem 2020, útočníci však byli v síti SolarWinds již v říjnu 2019. Díky tomu mohli úspěšně analyzovat kód napadené platformy a nepozorovaně do něj vložit backdoor, který si následně při aktualizaci stáhli důvěřiví zákazníci a tím umožnily útočníkům přístup do své infrastruktury, častokrát spolu s privilegovanými účty, které byly vyžadovány některými součástmi Orion platformy.

Představte si sebe v pozici oběti. V softwaru, který má přístup pod privilegovanými účty ke všem aktivům ve vaší infrastruktuře, je backdoor. Dozvíte se o tom po minimálně 3 měsících. Celkem hrozivé, že? Jak tomu předejít?

Obávám se, že ze strany klienta jen velmi těžko. Tento typ útoků využívá naši důvěru vůči softwaru třetích stran – od knihoven, které využíváme v našem kódu, přes různé běžné programy a hry až po velká softwarová řešení od prestižních firem, jako např. Orion. Vždy věříme, že mají kontrolu nad kódem a dávají pozor na to, aby nás nic nemohlo ohrozit, a na ověření zabezpečení, zejména proprietárního softwaru, máme častokrát velmi omezené prostředky. Máme tedy jen čekat na „ránu z milosti“ a bát se dne, kdy takový útok zasáhne i nás? Ne nutně, protože existují postupy a technologie, které tomu dokáží na stráně dodavatele zabránit, je pouze třeba takové zajištění od dodavatelů vyžadovat a podle možností ověřovat.

Druhou možností, jak se s rizikem supply chain útoku alespoň částečně vypořádat, je důkladný bezpečnostní dohled. Společnost FireEye, která tento útok detekovala, to dokázala právě na základě prvotního podnětu ze svého SOCu – bezpečnostního dohledového centra, které detekovalo podezřelé operace s nastavením vícefaktorová autentizace u jednoho zaměstnaneckého účtu. Útočníkům to sice nezabránilo dostat se do sítě (přístup měli přes backdoor v SolarWinds Orion), ale díky SOCu ve FireEye dokázali tento útok detekovat a mohli na něj reagovat.

Supply chain útoky jsou jen jedním z mnoha typů útoků, které sledujeme, detekujeme a řešíme v našem SOCu. Rádi pomůžeme i vám!

Dávid Kosť, Lead Security Analyst, AXENTA a.s.

Peter Jankovský, CTO, AXENTA a.s.