อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

DHS orders federal agencies to update SolarWinds Orion platform

CISA ออกคำสั่งให้หน่วยงานรัฐฯ ในสหรัฐฯ ทำการอัปเดตแพลตฟอร์ม SolarWinds Orion ตามอัปเดตล่าสุดในทันที

Cybersecurity and Infrastructure Security Agency (CISA) ได้มีการออกคำสั่งให้หน่วยงานรัฐฯ ทำการอัปเดตรุ่นของแพลตฟอร์ม SolarWinds Orion เป็นรุ่นล่าสุดที่มีการแก้ไขปัญหาที่เกิดจาก SUNBURST และ SUPERNOVA ก่อนจะหมดช่วงเวลาทำการในวันที่ 31 ธันวาคม 2020 ในทันที โดยคำสั่งดังกล่าวมีผลกับองค์กรที่มีการใช้งานรุ่นของ SolarWinds Orion ที่ไม่ได้รับผลกระจาก SUNBURST และ SUPERNOVA เท่านั้น

มาตรการดังกล่าวเกิดจากความพยายามในการลดความเสี่ยงและควบคุมสถานการณ์หลังจากเกิดการโจมตี SolarWinds ในลักษณะ Supply-chain attack ซึ่งส่งผลให้เกิดผลกระทบกับระบบอื่นเป็นจำนวนมาก สำหรับรุ่นล่าสุดของ SolarWinds Orion ที่ CISA แนะนำให้ทำการอัปเดตโดยทันทีมีตามรายการดังต่อไปนี้

2019.4 HF 6 (released December 14, 2020)
2020.2.1 HF 2 (released December 15, 2020)
2019.2 SUPERNOVA Patch (released December 23, 2020)
2018.4 SUPERNOVA Patch (released December 23, 2020)
2018.2 SUPERNOVA Patch (released December 23, 2020)
สำหรับผู้อ่านที่ต้องการติดตามข้อมูลเพิ่มเติมเกี่ยวกับสถานการณ์และรายละเอียดการโจมตี SolarWinds สามารถอ่านจากบทวิเคราะห์โดยทีม Intelligent Response ได้ที่ https://www.

สรุปมหากาพย์ SolarWinds Supply Chain Attack พร้อม IR Playbook

INTRODUCTION
ในวันที่ 8 ธันวาคมที่ผ่านมา บริษัทด้านความปลอดภัยไซเบอร์ FireEye ประกาศการตรวจพบการโจมตีระบบของตนและนำไปสู่บทความคำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบซึ่งตีพิมพ์ในวันถัดมาโดยทีม Intelligent Response อย่างไรก็ตาม การโจมตี FireEye เป็นเพียงจุดเริ่มต้นเล็กๆ เท่านั้นของมหากาพย์การโจมตีทางไซเบอร์แห่งปี 2020

SolarWinds Orion ซึ่งเป็นผลิตภัณฑ์สำหรับจัดการบริหารรวมไปถึงตั้งค่าเครือข่ายถูกโจมตีโดยผู้โจมตีซึ่งยังไม่มีข้อมูลแน่ชัด ผู้โจมตีทำการโจมตี SolarWinds เพื่อทำการฝังโค้ดที่เป็นอันตรายไว้ใน SolarWinds Orion ส่งผลให้ผู้ใช้งาน SolarWinds Orion ในรุ่นที่มีการอัปเดตและได้รับโค้ดที่เป็นอันตรายทั่วโลกตกอยู่ในความเสี่ยง ยิ่งไปกว่านั้นอาจมีความเป็นไปได้ที่การโจมตีจะเกิดขึ้นจากผู้โจมตีสองกลุ่มที่ไม่เกี่ยวข้องกันมาก่อนด้วย

ในบทความนี้ ทีม Intelligent Response จากบริษัท ไอ-ซีเคียว จำกัด จะขอสรุปเหตุการณ์การโจมตี SolarWinds ในลักษณะของ Supply-chain attack ซึ่งเชื่อว่าเป็นจุดเริ่มต้นของการโจมตี FireEye และนำไปสู่หนึ่งในการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดต่อรัฐบาลสหรัฐฯ รวมไปถึงบริษัทไอทียักษ์ใหญ่อีกหลายบริษัท รวมไปถึงแผนในการตอบสนองและรับมือเหตุการณ์ดังกล่าวในลักษณะของ Incident response playbook เพื่อให้ศักยภาพในการรับมือและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยนี้นั้นพัฒนาไปพร้อมกับขีดจำกัดของภัยคุกคามครับ

เนื้อหาภายในบทความจะถูกแบ่งเป็นหัวข้อตามลำดับดังนี้

ลำดับเหตุการณ์ด้านความปลอดภัย (Timeline)
เหตุการณ์การโจมตี SolarWinds (The SolarWinds Intrusion)
รายละเอียดและการวิเคราะห์เหตุการณ์ด้านความปลอดภัย (Analysis)

ข้อมูลผู้โจมตี (Threat actor)
เป้าหมายในการโจมตี (Targets)
ช่องโหว่ที่ใช้ในการโจมตี (Vulnerability)
รูปแบบและพฤติกรรมการโจมตี (Attack Techniques)

รายละเอียดและการวิเคราะห์มัลแวร์ที่ปรากฎในการโจมตี (Malware Analysis)

รายละเอียดมัลแวร์ SUNBURST
รายละเอียดมัลแวร์ TEARDROP
รายละเอียดมัลแวร์ RAINDROP
รายละเอียดมัลแวร์ BEACON
รายละเอียดมัลแวร์ SUPERNOVA

คำแนะนำในการระบุหาภัยคุกคาม (Threat Detection/Hunting)
คำแนะนำในการตอบสนองภัยคุกคาม (Incident Response)

คำแนะนำในการจำกัดความเสียหาย (Containment)
คำแนะนำในการกำจัดภัยคุกคาม (Eradication)
คำแนะนำในการฟื้นฟูระบบ (Recovery)

ข้อมูลตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise)
แหล่งข้อมูลอ้างอิงเพิ่มเติม (Additonal References/Resources)

TIMELINE

September 4, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีทำการโจมตีระบบของ SolarWinds อ้างอิงจากหลักฐานดิจิตอลที่ตรวจพบ

September 12, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีทำการแทรกโค้ดอันตรายลงไปในแพลตฟอร์ม Orion ครั้งแรก เชื่อว่าเป็นการดำเนินการเพื่อทดสอบว่าสามารถดำเนินการได้จริง

November 4, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีหยุดช่วงการทดสอบแทรกโค้ดลงในแพลตฟอร์ม Orion

February 20, 2020 (อ้างอิง: SolarWinds)

มัลแวร์ SUNBURST ถูกคอมไพล์ลงแพลตฟอร์มของ Orion เป็นครั้งแรก

March 26, 2020 (อ้างอิง: SolarWinds)

มีการกระจาย Hotfix ของแพลตฟอร์ม Orion ที่มีมัลแวร์ SUNBURST ฝังตัวอยู่ให้แก่ลูกค้า

June 4, 2020 (อ้างอิง: SolarWinds)

ผู้โจมตีถอนการติดตั้งมัลแวร์ SUNSPOT ซึ่งใช้ในการแทรกโค้ด SUNBURST ออกจากระบบที่ใช้ในการพัฒนาซอร์สโค้ด Orion

December 8 (อ้างอิง: FireEye):

FireEye ตรวจพบการบุกรุกระบบภายในของบริษัท ผู้โจมตีสามารถเข้าถึงเครื่องมือสำหรับทำ Red Teaming Assessment ได้ อ่านรายละเอียดเพิ่มเติมของเหตุการณ์ดังกล่าวได้ที่บทความ "คำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบ" โดยทีม Intelligent Response

December 12, 2020 (อ้างอิง: SolarWinds)

SolarWinds ได้รับแจ้งเกี่ยวกับการตรวจพบมัลแวร์ SUNBURST

December 13 (อ้างอิง: FireEye, SolarWinds, Department of Homeland Security, Microsoft):

FireEye เปิดเผยแคมเปญการโจมตีโดยกลุ่ม UNC2452 ซึ่งใช้รูปแบบการโจมตีแบบ Supply chain attack กับผลิตภัณฑ์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ SUNBURST, TEARDROP และ BEACON
SolarWinds ประกาศ Security advisory ยืนยันการถูกโจมตีพร้อมกับรายละเอียดและคำแนะนำในการลดผลกระทบ
Department of Homeland Security หรือกระทรวงความมั่นคงมาตุภูมิสหรัฐฯ ออกประกาศ Emergency Directive 21-01 Mitigate SolarWinds Orion Code Compromise เพื่อให้คำแนะนำในการลดผลกระทบจากการบุกรุกและแก้ไขโค้ดการทำงานในซอฟต์แวร์ SolarWinds Orion สำหรับหน่วยงานรัฐฯ
Microsoft ออกรายงานการวิเคราะห์สถานการณ์และพฤติกรรมการโจมตี

December 14 (อ้างอิง: Reuters, New York Times, The Register, Washington Post, Krebs on Security, The Wall Street Journal, Bleeping Computer, The Hacker News, Help Net Security, Politico, SEC, ZDNet, Security Week, @vinodsparrow, Threatpost, Volexity):

มีการรายงานข่าวว่าการโจมตีที่เกิดขึ้นอาจเกี่ยวข้องกับกลุ่มแฮกเกอร์ซึ่งทำงานให้ประเทศรัสเซีย
การโจมตีดังกล่าวถูกใช้เพื่อเข้าถึงและอ่านอีเมลของหน่วยงานภายในกระทรวงการคลัง, หน่วยงาน National Telecommunications and Information Administration (NTIA) ภายใต้กระทรวงพาณิชย์สหรัฐฯ และกระทรวงความมั่นคงมาตุภูมิ
รายงานข่าวจากบางสำนักระบุว่าการโจมตีที่เกิดขึ้นนั้นเกิดข้องกับการบุกรุกระบบของ FireEye ที่มีการประกาศมาในวันที่ 8 ธันวาคม
รัฐมนตรีต่างประเทศรัสเซียตอบโต้ใน Facebook ของสถานทูตรัสเซียในสหรัฐฯ โดยอ้างว่าถูกกล่าวหาว่าเป็นผู้อยู่เบื้องหลังการโจมตี
SolarWinds แจ้งต่อคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (The Securities and Exchange Commission – SEC) เกี่ยวกับสถานการณ์ที่เกิดขึ้น โดยหนึ่งในรายละเอียดที่มีการเปิดเผยออกมานั้น SolarWinds ระบุว่ามีลูกค้า 33,000 รายที่ใช้ SolarWinds Orion และน้อยกว่า 18,000 รายที่คาดว่ามีการติดตั้งอัปเดตที่มีมัลแวร์ SUNBURST อยู่ โดย SolarWinds ได้มีการติดต่อและแจ้งเตือนลูกค้าทั้งหมด 33,000 รายแล้ว
SolarWinds ยังมีการแจ้งต่อ SEC เพิ่มเติมด้วยว่า ได้รับการแจ้งเตือนจากไมโครซอฟต์เรื่องการตรวจพบการโจมตีและบุกรุกบัญชี Office 365 ขององค์กร ซึ่งทางองค์กรกำลังตรวจสอบอยู่
นักวิจัยด้านความปลอดภัย Vinoth Kumar ได้ออกมาทวีตเปิดเผยว่า ตนได้มีการแจ้งเตือนไปยัง SolarWinds ตั้งแต่เดือนพฤศจิกายน 2019 หลังจากค้นพบว่าโครงการซอฟต์แวร์ของ SolarWinds โครงการหนึ่งบนเว็บไซต์ GitHub มีการระบุข้อมูลสำหรับเข้าถึงระบบ downloads.

NSA ออกแจ้งเตือนถึงกลุ่มผู้ประสงค์ร้ายพยายามเข้าถึง Cloud-based ขององค์กร ผ่าน Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion

สำนักงานความมั่นคงแห่งชาติของสหรัฐฯ หรือ National Security Agency (NSA) ได้ออกเผยเเพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับเทคนิคที่แฮกเกอร์ใช้เพื่อเพิ่มการเข้าถึงจาก Local network ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ขององค์กรหรือบริษัท

การเผยเเพร่คำแนะนำสืบเนื่องมาจากเหตุการณ์มีการตรวจพบ Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion ที่อาจทำให้กลุ่มผู้ประสงค์ร้ายสามารถเข้าถึง Local network ขององค์กรหรือบริษัท โดย NSA ได้อธิบายเทคนิค Tactics, Techniques, and Procedures (TTPs) ที่แฮกเกอร์ใช้สองเทคนิคเพื่อเพิ่มการเข้าถึงจาก Local networks ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ไว้ดังนี้

เทคนิคเเรกกลุ่มผู้ประสงค์ร้ายที่สามารถเข้าถึง SSO infrastructure และสามารถขโมยข้อมูล Credential หรือ Private key ได้จะใช้ข้อมูลในส่วนนี้ในการปลอมแปลง Security Assertion Markup Language (SAML) tokens เพื่อเข้าถึง Cloud-based infrastructure ขององค์กรหรือบริษัท
เทคนิคที่สองผู้ประสงค์ร้ายจะใช้ประโยชน์จาก Credential ของบัญชีผู้ดูแลระบบที่ถูกบุกรุกทั่วโลก ทำการเพิ่มบัญชีบนบริการระบบคลาวด์แอปพลิเคชัน เพื่อเข้าถึงทรัพยากรบนระบบคลาวด์อื่น ๆ ขององค์กร์ที่บุกรุก
NSA ได้ตั้งข้อสังเกตว่าเทคนิคทั้งสองไม่ได้เป็นเทคนิคใหม่และเทคนิคทั้งสองนี้ถูกนำมาใช้ตั้งแต่ปี 2017 แล้ว นอกจากนี้ NSA ยังกล่าวอีกว่าเทคนิคทั้งสองเทคนิคไม่ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ Federated Authentication แต่เป็นการละเมิดฟังก์ชันที่ถูกต้องตามกฎหมายหลังจากที่ Local network หรือบัญชีผู้ดูแลระบบถูกบุกรุก ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เเหล่งที่มา

ที่มา: zdnet | media.

Microsoft ออกมายืนยันถึงการถูกบุกรุกผ่านซอฟแวร์ SolarWinds Orion เช่นเดียวกับหน่วยงานและองค์กรภาคเอกชนของสหรัฐฯ ต่างๆ

จากการแจ้งเตือนของสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Agency - CISA) ที่ได้ออกแจ้งเตือนเกี่ยวกับ Supply chain attack ที่เกิดขึ้นกับซอฟแวร์ SolarWinds Orion และผลกระทบต่อหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ

โดยรายงานของสำนักข่าวรอยเตอร์ที่ได้รายงานถึงการบุกรุกเข้าไปในผลิตภัณฑ์ของ Microsoft ซึ่ง Microsoft ออกแถลงการณ์ยอมรับว่ามีการตรวจพบโทรจันในซอฟแวร์ SolarWinds Orion ที่อยู่ภายในเครือข่ายและ Microsoft ได้ทำการแก้ไขแล้ว ซึ่งหลังจากการแก้ไข Microsoft ไม่พบหลักฐานการเข้าถึงบริการการผลิตหรือข้อมูลลูกค้า ณ ตอนนี้ Microsoft ได้ถูกเข้าร่วมอยู่ในลิสต์ที่ถูกแฮกผ่านการอัปเดตแบ็คดอร์ผ่านซอฟแวร์ SolarWinds Orion โดยที่ก่อนหน้านี้ได้มีหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ ถูกตกเป็นเหยื่อแล้ว เช่น กระทรวงการคลังสหรัฐฯ, โทรคมนาคมและสารสนเทศแห่งชาติของกระทรวงพาณิชย์สหรัฐ (NTIA), สถาบันสุขภาพแห่งชาติของกรมอนามัย (NIH), หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS), กระทรวงการต่างประเทศสหรัฐฯ, สถาบันแห่งชาติและบริหารจัดการความปลอดภัยนิวเคลียร์ (NNSA), กระทรวงพลังงานสหรัฐ (DOE)

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ความปลอดภัยของซอฟแวร์ SolarWinds Orion ให้เป็นเวอร์ชัน 2020.2.1 HF 2 เป็นการด่วนเพื่อป้องกันกลุ่มผู้ประสงค์ร้ายใช้ประโยชน์จากแบ็คดอร์ทำการโจมตีระบบ

ที่มา: zdnet