CERT-RO anunță că a avut loc un atac de tip supply chain ce a exploatat o vulnerabilitate a companiei SolarWinds

„Săptămâna trecută, Fireye anunţa că a fost victima unui incident de securitate cibernetică sofisticat „provocat de un actor statal”. Atacatorii au vizat una dintre diviziile companiei, mai precis cea care simulează atacuri pentru a descoperi vulnerabilităţi şi a dezvolta ulterior soluţii de securitate. Pentru că Fireye furnizează produse de networking şi de securitate către numeroase instituţii guvernamentale, atacatorii au avut ca ţintă informaţii legate de aceşti clienţi, conform declaraţiilor directorului executiv al companiei. În acel moment nu se cunoşteau foarte multe despre atac, dar între timp un raport Fireye arată faptul că a fost vorba despre un atac ce a exploatat o vulnerabilitate a unei terţe părţi respectiv SolarWinds (www.solarwinds.com). SolarWinds are puncte de lucru peste tot în lume şi are o sucursală inclusiv în România”, se menţionează în alerta postată de CERT-RO pe site-ul propriu.

Potrivit specialiştilor în securitate cibernetică, atacatorii au reuşit să altereze actualizările lansate de compania SolarWinds, pentru a obţine acces neautorizat, iar investigaţiile în derulare au relevat indicii credibile potrivit cărora atacul este în conexiune cu APT29 sau Cozy Bear şi ar fi fost iniţiat în primăvara anului 2020.

De asemenea, experţii CERT-RO semnalează că actualizările lansate de SolarWinds au fost utilizate pentru a distribui un backdoor numit Sunburst, însă nu sunt cunoscute toate consecinţele atacului. Printre instituţiile care utilizează produse SolarWinds se află Pentagonul, Departamentul de Stat American, NASA, NSA, Serviciul Poştal American, NOAA, Departmentul de Justiţie, inclusiv Preşedinţia SUA.

„Aparent, serverul de update-uri a fost compromis încă din martie, astfel că toate update-urile descărcate în perioada martie-decembrie 2020 au conţinut un backdoor ce oferea atacatorilor acces complet la echipamente! Software-ul SolarWinds afectat se numeşte Orion, iar după update backdoor-ul rămâne inactiv timp de 2 săptămâni, după care îşi ascunde activitatea maliţioasă sub activitatea utilitarului Orion. Se estimează că aproximativ 18.000 de clienţi SolarWinds au instalat versiunea de update cu variantele de malware Teardrop şi Beacon”, subliniază CERT-RO.

FireEye a oferit două reguli de YARA pentru a detecta Teardrop, disponibile pe GitHub. Totodată trebuie urmărite constant alertele venite de la FireEye HX: Malware Guard şi WindowsDefender. În plus, se recomandă evaluări de tip forensics, dacă se foloseşte SolarWinds Orion.