Phân tích các tác động của sự cố bảo mật SolarWinds

Nếu bạn đang quan tâm đến những thông tin mới nhất liên quan đến sự cố bảo mật SolarWinds, có lẽ bạn đã nhận ra rằng tên miền nội bộ (Internal Domain Name) “hq.fidelis” cũng nằm trong danh sách các tên miền bị tin tặc nhắm đến. Mặc dù tên miền nội bộ này có thể được sử dụng bởi cả những công ty khác ngoài Fidelis Cybersecurity, không loại trừ khả năng tin tặc thực sự nhắm đến hệ thống của Fidelis Network. Bài viết này sẽ đưa ra những thông tin chi tiết về việc điều tra liệu SUNBURST (malware trong sự cố bảo mật SolarWinds) đã có thể tấn công Fidelis hay chưa và các thiệt hại mà nó gây ra (nếu có).

Solarwinds Breach

Cho đến thời điểm hiện tại, chưa có bất kỳ bằng chứng nào cho thấy sự cố bảo mật SolarWinds tạo ra bất cứ tác động hay ảnh hưởng nào lên Fidelis. Mặc dù vậy, Fidelis vẫn sẽ tiếp tục điều tra các tác động (nếu có) của sự cố này lên hệ thống của Fidelis.

Từ khi thành lập đến nay, sự hợp tác giữa Fidelis với các khách hàng, các đối tác được xây dựng dựa trên niềm tin và sự trung thực. Vì vậy, Fidelis sẽ liên tục cập nhật và công bố các kết quả điều tra về sự cố SolarWinds cho các đối tác và khách hàng để đảm bảo tính công khai minh bạch và sự trung thực của mình. 

Vào thứ 2 ngày 25 tháng 1, hãng nghiên cứu công nghệ bảo mật NETRESEC AB công bố 1 danh sách bao gồm 23 tên miền nội bộ mà được gắn cờ cấp 2 (stage 2 flag) trong danh sách của SUNBURST DNS Beacons. Những domain name được gắn cờ cấp 2 có nghĩa chúng đã được tin tặc quan tâm và chúng sẽ tấn công vào những domain này. Và “hq.fidelis” thuộc danh sách gắn cờ cấp 2. Hình dưới đây mô tả quá trình tấn công của SUNBURST, do hãng FireEye cung cấp.

Netresec Blog 1

Mô tả quá trình tấn công: Các khách hàng của SolarWinds có sử dụng giải pháp Orion sau khi đã tải về bản cập nhật của phần mềm này sẽ bị nhiễm mã độc SUNBURST. Vì mã độc này ẩn nấp trong một phần mềm đáng tin cậy (Orion) nên nó rất khó bị phát hiện – đây là một hình thức tấn công Suppy Chain Attack (tấn công chuỗi cung ứng). 

  • Sau khi đã thành công xâm nhập vào hệ thống của nạn nhân, mã độc này sẽ thăm dò trong 2 tuần và không thực hiện bất kỳ hành vi phá hoại nào (Stage 1 “passive”). Thời gian này nó sẽ thu thập các thông tin như domain name nội bộ (Internal AD domain) của nạn nhân, các loại Antivirus (AV products) mà nạn nhân sử dụng…
  • Sau khi thu thập các thông tin cần thiết, nó sẽ kết nối với một DNS Server của kẻ tấn công (là Name Server trong hình vẽ) để chuyển các thông tin như Internal AD domain cũng như các AV products mà nạn nhân sử dụng. Nếu hacker thấy rằng mục tiêu là ‘đáng tấn công’, chúng sẽ trả về DNS A record là địa chỉ IP của server để Command & Control. Nếu không, chúng có thể tắt SUNBURST hoặc để nó tiếp tục hoạt động ngầm.
  • Giả sử hacker muốn tấn công, SUNBURST sẽ chuyển sang giai đoạn 2, yêu cầu CNAME record của C2 Server. Nếu bước này thành công, nó sẽ bắt đầu thực hiện bước 3 là Command & Control qua kết nối bảo mật HTTPS.
  • Lưu ý rằng hình vẽ trên là của FireEye công bố và Server độc hại ở đây là freescanonline.com. Đối với Fidelis thì đó là avsvmcloud.com. Cả 2 server này đều là các Server độc hại của tin tặc và chúng nằm trong số khoảng 10 Server độc hại mà tin tặc sử dụng.

Sau khi FireEye/SolarWinds công bố việc bị tấn công vào tháng 12 năm ngoái, Fidelis đã thực hiện một cuộc điều tra lên toàn bộ hệ thống mạng nội bộ của mình. Fidelis không sử dụng giải pháp Orion của SolarWinds (giải pháp bị nhiễm mã độc SUNBURST) để quản trị hệ thống mạng của mình. Mặc dù vậy, vì Fidelis là một hãng công nghệ bảo mật nên Fidelis phải tải về và đánh giá mọi loại phần mềm khác nhau để đảm bảo tính tương thích với các giải pháp của Fidelis. Đồng thời, Fidelis cũng muốn chắc chắn rằng Orion không được sử dụng ở bất cứ khu vực nào trong hệ thống của Fidelis.

Nhờ vào Fidelis Endpoint, Fidelis đã nhận ra rằng có một bản dùng thử của phần mềm bị nhiễm mã độc Orion được tải về và cài đặt trong hệ thống của Fidelis vào tháng 5 – 2020. Nó được tải về để phục vụ cho mục đích kiểm tra và đánh giá, vì vậy nó được cài đặt trong một hệ thống cô lập, tách biệt khỏi hệ thống core nền tảng của Fidelis. Hệ thống này cũng hiếm khi được sử dụng và không thường được bật lên. 

Những điều tra ban đầu của Fidelis cũng xem xét đến Fidelis Meta Data và một loạt các log hệ thống khác nhau cũng như các dấu hiệu nguy hiểm (Threat Indicator) được cung cấp bởi Fidelis Threat Research Team (Viết tắt: TRT – nhóm nghiên cứu các mối đe dọa bảo mật Fidelis) và các hãng thứ ba khác. Một trong các công cụ phân tích có thể kể đến như công cụ phân giải Domain SUNBURST của NETRESEC (NETRESEC’s Sunburst Domain Decoder Tool) với khả năng lọc và phân tích các bản ghi passive DNS (pDNS) có liên quan đến các domain cấp 1 của SUNBURST (avsvmcloud). Sử dụng các bản ghi pDNS vào thời điểm đó, Fidelis đã không thể xác định được việc domain “hq.fidelis” có liên quan đến SUNBURST.

Vào thứ 6 ngày 23/1, Fidelis sử dụng một nguồn ghi pDNS khác và đã thành công xác định được mối quan hệ giữa “hq.fidelis” và SUNBURST cũng như việc một thiết bị trong domain “hq.fidelis” đã liên lạc với domain cấp 1 của SUNBURST. Fidelis cũng bị những kẻ tấn công đánh dấu là 1 mục tiêu ‘ đáng chú ý’ và ‘cần quan tâm’. Dựa vào việc phân tích các bản ghi pDNS, Fidelis đã phát hiện việc thiết bị của Fidelis đã liên lạc với máy chủ cấp 1 của SUNBURST (avsvmcloud) trong thời gian 4 ngày vào tháng 5 năm 2020. Đồng thời, mã độc SUNBURST cũng gắn cờ cấp 2 (stage 2 flag) vào domain name “hq.fidelis” của Fidelis, chứng tỏ Fidelis là mục tiêu mà kẻ tấn công sẽ đặc biệt quan tâm. 

Tuy nhiên, Fidelis chưa xác định được bất cứ một bản ghi pDNS nào chỉ ra rằng đã có việc cung cấp bản ghi CNAME DNS của máy chủ cấp 3 của tin tặc cho malware SUNBURST để thực hiện hành động tấn công Command & Control (Fidelis rất mong nhận được bất cứ thông tin nào liên quan đến việc bước tấn công Command & Control đã được thực hiện – nếu có – từ cộng đồng và các nhà nghiên cứu). Việc không có các bản ghi DNS cho CNAME cấp 3 cho máy chủ của kẻ tấn công chỉ ra rằng mã độc SUNBURST có lẽ đã không nhận được CNAME cấp 3 để thực hiện việc tấn công Command & Control.

Hiện tại, Fidelis tin rằng do phần mềm bị nhiễm mã độc Orion được cài đặt trên một hệ thống cô lập và tách biệt, đồng thời hệ thống này cũng rất ít khi được bật lên nên có thể nó đã không nhận được những thông tin cần thiết để thực hiện bước Command & Control. Tất nhiên, nếu có những thông tin thêm từ các nguồn khác, Fidelis sẽ thay đổi quan điểm của mình.

Mặc dù hiện tại Fidelis vẫn chưa tìm ra bất cứ bằng chứng nào cho thấy sự cố SolarWinds đã tác động lên hệ thống Core nền tảng của Fidelis, hãng sẽ vẫn tiếp tục điều tra về sự cố này trên hệ thống của mình bằng chính các công cụ của hãng. Mặc dù Fidelis không hề vui khi trở thành mục tiêu nhắm đến của tin tặc, hãng cho rằng đây là một cơ hội để rèn luyện đội ngũ nhân viên nội bộ của hãng cũng như kiểm tra khả năng bảo mật của các giải pháp Fidelis khi phải đối mặt với các sự cố lớn (uống chính loại rượu mình làm ra để thử hương vị – drink your own champagne). Sau sự cố này, Fidelis cũng sẽ xuất bản các tài liệu hướng dẫn cho các đối tác để phát hiện việc liệu hệ thống của họ có đang bị khai thác bởi những kẻ tấn công nguy hiểm như những kẻ đứng đằng sau sự cố SolarWinds.

Tham khảo:

https://fidelissecurity.com/threatgeek/data-protection/ongoing-analysis-solarwinds-impact/

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *