Генеральный директор FireEye рассказывает о том, как компания обнаружила кибератаку.

Все началось с недавно зарегистрированного аккаунта телефона.

В начале декабря 2020 г. компания FireEye сообщила об атаке на свои системы. Это был первый «звоночек», а спустя некоторое время произошел взлом Solarwinds - кибератака, которая была нацелена на многочисленные государственные учреждения, сети и предприятия США.

Недавно зарегистрированный аккаунт телефона с учетной записью пользователя FireEye предоставил первые признаки вредоносной активности. В данном конкретном случае нам сообщили о том, что кто-то заходит в нашу сеть так же, как и мы, но злоумышленники делают это со второго зарегистрированного устройства. С пользователем FireEye, чья учетная запись была связана с выделенным доступом, связались и спросили, зарегистрировал ли он новый телефон, но оказалось что он не регистрировал.

«Специализированные группы» в работе

Изначально это было «оповещение нулевой степени серьезности», но по факту это было признаком серьезного нарушения безопасности. «У нас был кто-то, кто обошел нашу двухфакторную аутентификацию, зарегистрировав новое устройство и получив доступ к нашей сети. В тот момент, когда мы это увидели, мы поняли, что это тот подход, который могут использовать специализированные группы».

После данных событий начался внутренний анализ. FireEye исследовал пакетные записи и журналы криминалистического программного обеспечения на своих конечных точках - и нашел общюю нить. "Самым ранним индикатором для нас было то, что система, на которой работал продукт Solarwinds, была включена".

4000 строк вредоносного кода

Затем компания начала декомпилировать код и обнаружила 4000 строк вредоносного кода. На первом этапе атаки бэкдор был незаконно внедрен в сеть FireEye через платформу Solarwinds.

На втором этапе бэкдор использовался для доступа к учетным данным домена, таким как учетные записи пользователей и пароли. Третий этап заключался в получении сертификатов подписи токенов для доступа к O365, вероятно, для определенных учетных записей электронной почты. Последним этапом атаки была кража инструментов FireEye Red Team.

Однако компания FireEye до сих пор не сделала никаких заявлений о возможных виновниках нападения.

Агентство по кибербезопасности США опубликовало оповещение

Агентство кибербезопасности США CISA также опубликовало новое уведомление о взломе Solarwinds. В обновлении своего оповещения «AA20-352A» агентство пишет, что злоумышленники использовали не только изощренные методы, но и распространенные хакерские приемы для получения паролей.

CISA имеет данные о том, что помимо платформы Solarwinds Orion существуют и другие векторы для начального доступа, и определила в качестве одного из таких векторов злоупотребление учетными записями", - говорится в обновлении. "В частности, мы расследуем инциденты, в которых есть активность, указывающая на злоупотребление маркерами языка Security Assertion Markup Language (SAML), соответствующими поведению данного злоумышленника, но в которых не было обнаружено ни одного затрагиваемого экземпляра Solarwinds".

Компании должны хранить сетевые журналы

Для организаций, установивших скомпрометированные версии ПО Solarwinds - даже если скрытое вредоносное ПО не было использовано для подключения к внешнему миру - CISA рекомендует обеспечить "перехват и хранение всех журналов хостов платформы Solarwinds и связанных с ними сетевых журналов в отдельном, централизованном хранилище журналов в течение как минимум 180 дней".

"CISA наблюдала, как злоумышленник добавлял учетные данные аутентификации в виде назначенных токенов и сертификатов к существующим принципам службы приложений Azure/Microsoft 365 (M365)", - продолжает он. Агентство советует предприятиям и организациям следить за необычной деятельностью для обнаружения такой тактики.

Solarwinds приглашает бывшего начальника CISA для поддержки

Со своей стороны, Solarwinds объявила о привлечении Криса Кребса. Кребс открыл новую консалтинговую фирму вместе с Алексом Стамосом, профессором Стэнфордского университета и бывшим главой службы безопасности Facebook. На эту фирму сейчас возложена задача по координации мер реагирования на кризисные ситуации, вызванные "солнечным ветром". Новый генеральный директор Solarwinds Судхакар Рамакришна заявил, что привлечение двух экспертов было частью усилий по преобразованию компании, которая подвергалась критике за плохую безопасность.