Pod koniec ubiegłego roku miał miejsce głośny incydent bezpieczeństwa o nazwie Solorigate, którego ofiarą padli klienci SolarWinds — blisko 18 tysięcy firm, w tym Microsoft. Prowadzone przez firmę dochodzenie nie znalazło dowodów na bezprawne uzyskanie dostępu danych klientów ani usług w środowisku produkcyjnym, niemniej jednak hakerzy zyskali dostęp do pewnych zasobów. Microsoft ujawnia teraz szczegóły.
Microsoft wyszedł z ataku bez większego szwanku. Cenne dane nie zostały wykradzione i nie znaleziono dowodów, by jego systemy zostały wykorzystane do atakowania innych. Dzięki firmowym mechanizmom obronnym hakerzy nie mogli też uzyskać dostępu do uprzywilejowanych danych dostępowych ani wykorzystać technik SAML przeciwko firmowym domenom.
Tak jak raportowaliśmy wcześniej, wykryliśmy w grudniu nietypową aktywność i przystąpiliśmy do działania celem zabezpieczenia naszych systemów. Nasze analizy pokazują, że pierwsze przeglądanie pliku w repozytorium źródłowym miało miejsce pod koniec listopada i zakończyło się, gdy zabezpieczyliśmy dotknięte konta. Nadal obserwowaliśmy nieudane próby dostępu przez tego aktora aż do początku stycznia 2021, kiedy te próby ustały.
Nie było przypadku, w którym uzyskano dostęp do wszystkich repozytoriów związanych z jakimkolwiek pojedynczym produktem bądź usługą. Nie było dostępu do znacznej większości kodu źródłowego. Spośród wszystkich repozytoriów kodu, do których uzyskano dostęp, jedynie kilka pojedynczych plików zostało przejrzanych jako efekt wyszukiwania w repozytorium.
W niewielkiej liczbie repozytoriów był dodatkowy dostęp, w tym w niektórych przypadkach pobranie kodu źródłowego składnika. Repozytoria te zawierały kod:
- niewielkiego podzbioru składników Azure (podzbiory usługi, ochrony, tożsamości)
- niewielkiego podzbioru składników Intune
- niewielkiego podzbioru składników Exchange
Frazy wyszukiwania użyte przez aktora wskazują na spodziewane jego skupienie na odnalezieniu tajemnic. Nasze zasady rozwoju zabraniają tajemnic w kodzie i uruchamiamy zautomatyzowane narzędzia, aby weryfikować zgodność. Z powodu wykrytej aktywności natychmiast zainicjowaliśmy proces weryfikacji dla obecnych i historycznych gałęzi repozytoriów. Potwierdziliśmy, że repozytoria są zgodne i nie zawierają żadnych aktywnych, produkcyjnych danych uwierzytelniania.
— Microsoft Security Response Center Team
Jak dodaje zespół MSRC, ataki te były właściwie potwierdzeniem tego, co branża cyberbezpieczeństwa doskonale wie: że wyrafinowani i dobrze opłaceni aktorzy (czyli de facto przestępcy przeprowadzający ataki) są teoretycznie zdolni do działania cierpliwie, poniżej radaru, stosując zaawansowane techniki. Solorigate utwierdził Microsoft w konieczności wzmocnienia dwóch strategii: podejścia Zero Trust i ochrony uprzywilejowanych danych uwierzytelniania.
Zero Trust, filozofia "zakładająca naruszenie", jest krytycznym składnikiem obrony. Zero Trust to przejście z domniemanego zaufania — założenia, że wszystko wewnątrz sieci korporacyjnej jest bezpieczne — do modelu, który zakłada naruszenie i wyraźnie weryfikuje status tożsamości, punktów końcowych, sieci i innych zasobów w oparciu o wszystkie dostępne sygnały i dane. (...)
Ochrona danych uwierzytelniania to sprawa zasadnicza. We wdrożeniach, które łączą infrastrukturę on-premise z chmurą, organizacje mogą delegować zaufanie na składniki on-premise. Tworzy to dodatkowe spojenie, które organizacje muszą chronić. Konsekwencja tej decyzji jest taka, że jeśli środowisko on-premise zostaje przejęte, tworzy to atakującemu możliwość celowania w usługi chmurowe.
— Microsoft Security Response Center Team
Microsoft dzieli się także własną wiedzą, udostępniając poradniki na temat implementacji zasad Zero Trust oraz ochrony usług chmurowych M365 przed atakami on-premise (dostępne w języku angielskim).
Przypomnijmy jeszcze, że w niedawnym wywiadzie Brad Smith, President i Chief Legal Officer w Microsoft, nazwał Solorigate "największym i najbardziej zaawansowanym atakiem, jaki widział świat". Jego zespół doszedł do wniosku, że nad atakiem pracowało zapewne ponad 1000 osób. Wśród ekspertów panuje też przekonanie, że incydent był sponsorowany przez państwo i miał na celu gromadzenie danych wywiadowczych, nie zaś niszczenie infrastruktury. Rosja — główny podejrzany — oczywiście odżegnuje się od wszelkich oskarżeń.
341f31d.png)