În filmele de spionaj din timpul Războiului Rece, agentul îmbrăcat în frac urca din salonul de recepţie pe o scară de marmură, pătrundea cu un şperaclu în cabineul ambasadorului, deschidea cu iscusinţă seiful şi făcea fotocopii după documente secrete, apoi revenea în salon şi flirta cu cea mai frumoasă femeie dintre invitaţi. În variantele mai recente, spionul costumat ninja urcă pe peretele de sticlă al unui zgârie-nori, copiază întreg hard-discul calculatorului ţintă pe un thumb-drive şi dispare în noapte cu o parapantă. Acum, în operaţia SolarWinds, se întâmplă la fel, doar că… altfel.
Pe unde a intrat spionul ca să şterpelească informaţii
Operaţia de spionaj pe scară largă prin intermediul produselor software ale companiei americane SolarWinds a fost prezentată în presă, în principalele ei faţete. Nu voi aborda aici nici problema autorului, nici evaluarea pagubelor suferite de diferiţi utilizatori ai produsului software compromis. Păi atunci ce-ar mai fi? Mai este ceva, pentru unii cititori poate chiar mai interesant decât servicii ruseşti de spionaj şi ministerele / agenţiile federale americane sau stocul de materiale nucleare al Statelor Unite: modul de acţiune, pe care voi încerca să-l prezint cât mai simplu.
Punctul de intrare pentru operaţia de spionaj a fost „Orion Platform”, un program de monitorizare a reţelelor interne, mentenanţă şi actualizare a produselor software realizate de compania SolarWinds şi livrate unui număr enorm de beneficiari (estimat la 300.000, dar se mai caută). Prin această poartă de intruziune, hackerii şi-au instalat secvenţele buclucaşe în pachetele destinate victimelor, cumpărate de acestea, deci nu a pătruns nimeni direct şi nemijlocit în obiectivele informative vizate. Serviciul de spionaj a folosit posibilităţile de distribuţie oferite de lanţul logistic (supply chain) de asigurare a produselor care garantează însăşi securitatea programelor folosite de victimele vizate. Mai mult, instrumentul de spionaj a fost distribuit sistematic, instituţional şi pe scară largă, inclusiv la entităţi guvernamentale sau private care nu constituiau, poate, ţinte ale operaţiei de spionaj; sau nu la început, poate altă dată. Ironic, instalarea „tehnicii” la victimă s-a făcut pe banii victimei şi sub atentaă supraveghere, pentru ca să fie corectă.
În alerta emisă imediat după detectarea operaţiei, agenţia americană de securitate cibernetică CISA[i] chiar a precizat că „acest adversar a demonstrat abilitatea de a exploata lanţurile de aprovizionare cu software şi a dovedit o cunoaştere semnificativă a reţelelor Windows… Probabil că adversarul deţine şi alţi vectori iniţiali de acces, precum şi tactici, tehnici şi proceduri (TTP) care nu au fost încă descoperite”.
Dacă alerta oficială nu descrie suficient amploarea evenimentului, un expert Microsoft a declarat că utilizarea lanţurilor de aprovizionare ca element pentru intruziune face ca acesta să fie, probabil, cel mai grav atac cibernetic asupra Statelor Unite de ani de zile, pentru că „unul dintre elementele care trebuie să fie absolut interzise este un atac amplu asupra lanţului de aprovizionare, pentru că o astfel de agresiune creează o vulnerabilitate globală pe care nicio altă formă de spionaj nu o poate săvârşi”.
Antecedente de hacking pe scară largă
Culmea este că exploatarea lanţului de aprovizionare software în scop ilegal nu este o noutate: recent, hackerii au folosit tot mai mult această cale de intruziune pentru a-şi asigura un acces larg în spaţiul cibernetic ţintă sau putere distructivă aplicată rapid, surprinzător şi eficient. Ba chiar agenţiile de specialitate au prevenit despre pericolul acestei infracţiuni ce duce la scenariile cele mai pesimiste în securitatea cibernetică.
Încă de la detectarea intruziunii, firma de securitate cibernetică FireEye a exprimat suspiciunea că operaţiunea ar putea utiliza şi alţi vectori de acces ilegal, în afara Platformei Orion, şi chiar în alte programe şi reţele utilizate de instituţii şi companii.
Concret, cercetătorii firmei Volexity au asociat specificul operaţiei SolarWinds cu cel al campaniei Dark Halo, desfăşurată încă din anul 2019, împotriva ONG-urilor americane de analiză politică (think tanks). Într-o postare pe blogul firmei, FireEye precizează că, „în incidentul iniţial, Volexity a detectat multiple instrumente”, „uşi din dos” şi implanturi malware care au permis atacatorului să rămână nedetectat ani de zile. După extirparea din reţelele compromise, Dark Halo a revenit… Veloxity a observat că atacatorul a utilizat o nouă tehnică de evitare a autentificării Duo-multi-factor pentru a accesa cutia poştală a unui utilizator prin serviciul Outlook Web App al organizaţiei (victimă)”. Dark Halo a revenit cu o treia operaţie de penetrare a think tank-urilor americane în iunie şi iulie 2020, ceea ce fundamentează suspiciunea CISA cu privire la existenţa mai multor vectori malware de compromitere a unor reţele şi sisteme din Statele Unite.
Cum s-a spart buboiul software şi care este „săgeata otrăvită”
Începând cu începutul, primele semnale privitoare la accesul ilegal la produsele software au apărut în 9 decembrie 2020, când firma FireEye a sesizat şi anunţat intruziunea neautorizată (superb eufemism!) într-un produs destinat fix securităţii cibernetice. Un operator al firmei FireEye a primit alerta asupra faptului că cineva se „logase” (ştiu, barbarism, nu mă pot lupta cu toate) la reţeaua virtuală privată[ii] (VPN) a companiei de la un dispozitiv nou.
Imediat, circa o sută de operatori ai firmei s-au avântat să evalueze şi să limiteze impactul accesului neautorizat, între altele verificând 50.000 de linii de program, pentru a detecta anomalii în software. Totodată, FireEye a notificat firmele SolarWinds şi Microsoft, iar la 13 decembrie a fost publicat rezultatul constatării iniţiale a efectului operaţiei cibernetice ilegale.
Secvenţa de program ostilă introdusă de făptuitori, numită Sunburst, a fost inserată în câteva versiuni ale programului Orion Platform, produs de firma SolarWinds. Platforma Orion este folosită pentru monitorizarea şi optimizarea infrastructurii IT în reţele de mari dimensiuni, cum sunt cele ale departamentelor şi agenţiilor guvernamentale sau ale beneficiarilor privaţi cu reţele extinse, precum marile companii industriale. Platforma Orion supraveghează utilizarea resurselor de către diferite echipamente sau procese şi identifică soluţii de optimizare pentru a sprijini managerii de reţea să depăşească dificultăţile curente. Pentru aceasta, Orion are acces la adrese, parole şi proceduri de autentificare a utilizatorilor, în vederea conturării unei imagini corecte a utilizării resurselor conform reglementărilor reţelei. Evident, pentru buna funcţionare a reţelelor proprii, beneficiarii au tot interesul să îşi actualizeze versiunea de Orion achiziţionată, atunci când o nouă versiune este disponibilă.
În traficul de reţea obişnuit al Platformei Orion, hackerii au depozitat date în fişiere autentice ale reţelei şi au stabilit, astfel, ceea ce se poate numi „accesul pe uşa din dos” a sistemului beneficiarului victimă, chiar în interiorul produsului de monitorizare. Hackerii au modificat în mod direct codul sursă al bibliotecii afectate pentru a include liniile de program ale „uşii din dos”, care au fost compilate, autentificate prin „semnătura” Orion şi livrate prin sistemul existent de management al actualizărilor. Astfel, beneficiarul acordă Platformei Orion, implicit hackerului, prin Sunburst, privilegii de acces tipice nivelului de audit. În consecinţă, spionul capătă acces la date protejate ale clienţilor şi partenerilor beneficiarului, prin reţeaua pe care Platforma Orion o monitorizează.
Modul de operare în afacerea de spionaj cibernetic SolarWinds
Evaluările publicate pe blogul FireEye indică faptul că pătrunderea iniţială a avut loc încă din octombrie 2019, când au fost implantate secvenţe de test, inofensive, cu terminaţia .net, în versiunea 2019.4.5200.8890 a Platformei Orion. Aceste fişiere au avut trei roluri: de a asigura „stabilirea prezenţei” în program, de a ajuta la confirmarea conceptului operaţional prin teste, respectiv de a constitui locaţia de instalare ulterioară a secvenţei malware Sunburst. Ca efect, în această primă fază, hackerii au realizat trei obiective: au compromis construcţia sistemului, au injectat linii de program şi au verificat dacă pachetele de date „semnate” / autentificate de Orion apăreau intacte în sistemele / serverele clienţilor din reţea, aşa cum prevedea funcţionarea Platformei Orion. Fişierele iniţiale au funcţionat cu cele trei roluri „administrative” pentru, probabil, câteva săptămâni, cât a durat testarea şi validarea conceptului.
În a doua etapă, menită să dezvolte prezenţa stabilită anterior, hackerii au modificat versiunile 2019.4.5200.9083 (2019.4 HF5) a Platformei Orion, prima injectată cu „sarcina utilă” de malware Sunburst, probabil către finele anului 2019, apoi versiunile până la 2020.2.1. Softul Sunburst are rolul de a cerceta reţeaua infectată şi de a captura datele de interes, pentru a le transmite hackerilor. Sofisticarea secvenţei Sunburst constă în faptul că traficul purtător de date sustrase este deghizat sub forma traficului de date firesc în cadrul funcţionării normale a Platformei Orion.
Dar un astfel de „cal troian” memorat în bibliotecile Platformei Orion nu execută cu de la sine voinţă ample activităţi precum cele enumerate mai sus, el poate aştepta mult timp inactiv. „Calul troian” infiltrat trebuie activat de către hackeri şi direcţionat către ţintele alese de aceştia în reţelele clienţilor, prin mecanismul de declanşare numit „kill switch”, care „deschide uşa din spate” pentru o anumită acţiune de spionaj. „Ţeapa” în sine nu atrage nici ea atenţia, pentru că se desfăşoară exact la fel ca activităţile legitime de verificare a reţelei, pe care le execută programul Orion. Această etapă s-a desfăşurat, probabil, în primele trei luni ale anului 2020.
Analiştii estimează că, odată ce hackerii au stabilit o ţintă, Sunburst primeşte comanda de eliberare în reţea a unei secvenţe secundare numită Teardrop. Acest al doilea produs toxic execută o serie de linii de program / comenzi conducând la instalarea „pionului otrăvit”, instrumentul Cobalt Strike, secvenţa propriu-zisă de penetrare ilicită. Ironia este că această categorie de software a fost proiectată exact pentru a consolida protecţia sistemelor contra atacurilor pe care le mimează în acest scop. Software de acest nivel a fost instalat pe versiunea din martie 2020, care a fost distribuită beneficiarilor Platformei Orion. Aceştia au descărcat şi instalat produsul malware Sunburst ignorând faptul că astfel dau hackerilor posibilitatea să acceseze nestingheriţi date protejate ale clienţilor de nivelurile menţionate mai sus. Practic, versiunea compromisă a Platformei Orion a fost distribuită între martie şi iunie 2020, iar beneficiarii care şi-au actualizat softul de reţea cu acea versiune sunt identificaţi ca victime ale operaţiei SolarWinds. Ironia face ca tocmai beneficiarii leneşi, care au omis să-şi actualizeze softul de monitorizare a reţelei, să scape de acţiunea hackerilor.
În a treia etapă, de exploatare a construcţiei ilegale, odată ce „cheile regatului” au intrat în posesia hackerilor, aceştia au putut / pot desfăşura de voie căutări şi acţiuni punctuale de sustragere („exfiltrare”) de date, oriunde în reţelele penetrate.
În alerta menţionată, CISA estimează că „obiectivele iniţiale ale adversarului… par a fi de a culege informaţii despre mediul informaţional al victimelor… conturi de e-mail ale personalului esenţial, inclusiv al personalului IT şi de prim răspuns la incidente”. Documentul precizează că, după extinderea prezenţei şi consolidarea integrării în Platforma Orion, „adversarul îşi creează credenţiale (parole) neautorizate, dar valabile, şi le prezintă serviciilor care acceptă credenţiale valabile ale mediului (platformei de monitorizare)… Aceste credenţiale pot fi folosite pentru accesarea resurselor din mediile soft gazdă, cum ar fi e-mailuri, în vederea exfiltrării de date prin interfeţe de programare cu aplicare autorizată”.
Concluzii
Principala observaţie este clară: operaţia SolarWinds constituie un eveniment major de securitate cibernetică, de natura spionajului comunicaţiilor[iii], prin dimensiunea impactului asupra reţelelor guvernamentale şi industriale ale Statelor Unite şi altor ţări. Evident, o astfel de activitate nu este rezultatul entuziasmului unor hackeri particulari, ci este opera unor instituţii ale unui stat adversar.
Îndrăzneala hackerilor constă nu în valoarea ţintelor urmărite, ci în faptul că a fost compromis exact instrumentul de monitorizare a reţelelor şi de echilibrare / autentificare a comunicaţiilor reţelei spionate cu clienţii legitimi. Expresia folosită de Reuters este că hackerii „au furat uneltele echipei roşii”, cu ajutorul cărora o companie sau o agenţie guvernamentală formează un colectiv care joacă rolul atacatorilor pentru a concepe modalităţi de protecţie cibernetică a reţelei proprii.
Aceste particularităţi reflectă ingeniozitatea planificatorilor operaţiei de spionaj şi determină un grad mare de dificultate pentru campania de contracarare a efectelor intruziunii, mai ales în condiţiile unor măsuri redutabile de siguranţă a operaţiei de spionaj COMINT. Metodele folosite de hackeri pentru asigurarea conspirativităţii activităţii clandestine, precum şi eforturile imediate de contracarare tehnologică, vor fi abordate în următorul articol dedicat „Afacerii SolarWinds”.
[i] Cybersecurity and Infrastructure Security Agency
[ii] O conexiune la o reţea virtuală privată (virtual private network – VPN) de la un calculator (PC) cu sistem de operare Windows 10 oferă o conexiune mai sigură şi un acces la reţeaua privată respectivă (guvernamentală sau privată) şi la Internet, de exemplu, în cazul lucrului dintr-un loc anonim, cum ar fi o cafenea, o bibliotecă sau un aeroport.
[iii] COMINT – COMmunication INTelligence, parte a „spionajului semnalelor” (SIGINT – SIGnals INTelligence) ca disciplină de culegere (clandestină) de informaţii.
