FireEye ประกาศการค้นพบแคมเปญการโจมตีทั่้วโลกโดยกลุ่มแฮกเกอร์ซึ่งถูกติดตามในชื่อ UNC2452 ผ่านการฝังแบ็คดอร์ไว้ในไฟล์อัปเดตของซอฟต์แวร์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ชื่อ SUNBRUST การตรวจสอบพบว่าพฤติกรรมและเทคนิคการโจมตีดังกล่าวจะเกี่ยวข้องกับสถานการณ์การรั่วไหลข้อมูลและเครื่องมือทำ Red team assessement ของทาง FireEye เอง
ในขณะนี้องค์กรซึ่งถูกยืนยันว่าถูกโจมตีแล้ว ได้แก่กระทรวงการคลังสหรัฐฯ, National Telecommunications and Information Administration หรือ NTIA ซึ่งเป็นหน่วยงานภายใต้กระทรวงพาณิชย์สหรัฐฯ และ FireEye ด้วย ทั้งนี้ FireEye เชื่อว่าเหยื่อในการโจมตีอาจมีมากกว่าที่ตรวจพบและอาจมีอยู่ทั่วโลก ทุกลักษณะธุรกิจและองค์กร
แหล่งข่าวมีการให้ข้อมูลกับ Washington Post ว่าการโจมตีดังกล่าวมีลักษณะเชื่อมโยงไปยังกลุ่ม APT29 ซึ่งเป็นกลุ่ม APT ที่เกี่ยวกับกับรัฐบาลรัสเซีย ทั้งนี้ FireEye ไม่ได้มีการยืนยันข้อเท็จจริงในส่วนนี้
ทีม Intelligent Response ขอสรุปรายละเอียด เทคนิคและพฤติกรรมการโจมตีตามรายการดังต่อไปนี้
- รูปแบบการโจมตีที่ FireEye ตรวจพบนั้นเป็นลักษณะที่ถูกเรียกว่า Supply-chain คือการที่ผู้โจมตีโจมตีซอฟต์แวร์ ฮาร์ดแวร์หรือทรัพยากรที่จำเป็นที่องค์กรต้องใช้ในการดำเนินงาน จากนั้นใช้ประโยชน์จากการโจมตีนั้นในการบุกรุกและติดตั้งมัลแวร์
- ซอฟต์แวร์ซึ่งถูกโจมตีในครั้งนี้คือ SolarWinds Orion ซึ่งใช้ในการตรวจสอบและเฝ้าระวังอุปกรณ์ไอทีในองค์กร โดย SolarWinds ได้ออกมายืนยันการโจมตีและเผยแพร่ Security advisory แล้ว
- อ้างอิงจากรายละเอียดของ SolarWinds ซอฟต์แวร์ Orion ตั้งแต่เวอร์ชัน 2019.4 จนถึง 2020.21 ซึ่งถูกเผยแพร่ตั้งแต่เดือนมีนาคม 2020 จนถึงมิถุนายน 2020 ได้ถูกแก้ไขและติดตั้งแบ็คดอร์
- แบ็คดอร์ซึ่งถูกติดตั้งถูกระบุชื่อโดย FireEye ว่า SUNBURST และถูกตรวจจับโดยไมโครซอฟต์ในชื่อ Solorigate
- ในขณะนี้ FireEye ได้มีการเผยแพร่รายงานการวิเคราะห์มัลแวร์และแนวทางในการตรวจจับและเฝ้าระวังแล้ว
- SolarWinds มีแผนจะปล่อยอัปเดต 2020.2.1 HF 2 ในวันที่ 15 ธันวาคมนี้ โดยอัปเดตจะนำส่วนของซอฟต์แวร์ที่มีแบ็คดอร์ออก และเพิ่มความปลอดภัยระบบ
ที่มา:
- https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
- https://www.zdnet.com/article/fireeye-confirms-solarwinds-supply-chain-attack/
- https://www.theregister.com/2020/12/14/solarwinds_fireeye_cozybear/
- https://www.securityweek.com/us-investigating-computer-hacks-government-agencies
- https://www.securityweek.com/us-government-confirms-cyberattack
- https://www.reuters.com/article/us-usa-cyber-amazon-com-exclsuive/u-s-treasury-breached-by-hackers-backed-by-foreign-government-sources-idUSKBN28N0PG
- https://us-cert.cisa.gov/ncas/current-activity/2020/12/13/active-exploitation-solarwinds-software
- https://www.solarwinds.com/securityadvisory