อัปเดตสถานการณ์ SolarWinds: เจอมัลแวร์ใหม่เพิ่มอีก 3, SUPERNOVA อาจเกี่ยวกับแฮกเกอร์จีน

ไมโครซอฟต์ประกาศการตรวจพบมัลแวร์ใหม่ 3 ชนิดในสภาพแวดล้อมที่ปรากฎการโจมตีที่เกี่ยวข้องกับกลุ่ม NOBELIUM ได้แก่ GoldMax, GoldFinder และ Sibot มัลแวร์ใหม่ทั้ง 3 ชนิดถูกใช้ในช่วงเดือนสิงหาคมถึงเดือนกันยายน 2020 และอาจถูกติดตั้งตั้งแต่เดือนมิถุนายน 2020 อ่านบทวิเคราะห์เพิ่มเติมได้จากหัวข้อการวิเคราะห์มัลแวร์ (I-SECURE)
ทีม Counter Threat Unit ของ SecureWorks ออกมาเปิดเผยถึงสมมติฐานและความเป็นไปได้ที่การโจมตีระบบ SolarWinds Orion และเกี่ยวข้องกับการใช้งานมัลแวร์แบบ Web shell ชื่อ SUPERNOVA นั้นอาจมีส่วนเกี่ยวข้องกับกลุ่มแฮกเกอร์ชื่อ SPIRAL ซึ่งเป็นกลุ่มแฮกเกอร์จากประเทศจีน
บริษัท Mimecast ซึ่งตกเป็นเหยื่อของการโจมตีในลักษณะของ Supply chain attack ผ่านแพลตฟอร์ม SolarWinds Orion ออกมาเปิดเผยถึงความเสียหายว่าผู้โจมตีมีการเข้าถึงใบรับรองที่ Mimecast สร้างขึ้น, การเชื่อมต่อที่เกี่ยวข้องกับผู้ใช้งานบางรายการ รวมไปถึงดาวโหลดซอร์สโค้ดของซอฟต์แวร์ออกไป Mimecast ไม่พบการแก้ไขซอร์สโค้ดที่มีอยู่และเชื่อว่าซอร์สโค้ดที่ผู้โจมตีได้ไปนั้นไม่สมบูรณ์ และไม่สามารถเอาใช้ในการสร้างเซอร์วิสที่เหมือนกับ Mimecast ได้

ดูเพิ่มเติม : i-secure

DHS orders federal agencies to update SolarWinds Orion platform

CISA ออกคำสั่งให้หน่วยงานรัฐฯ ในสหรัฐฯ ทำการอัปเดตแพลตฟอร์ม SolarWinds Orion ตามอัปเดตล่าสุดในทันที

Cybersecurity and Infrastructure Security Agency (CISA) ได้มีการออกคำสั่งให้หน่วยงานรัฐฯ ทำการอัปเดตรุ่นของแพลตฟอร์ม SolarWinds Orion เป็นรุ่นล่าสุดที่มีการแก้ไขปัญหาที่เกิดจาก SUNBURST และ SUPERNOVA ก่อนจะหมดช่วงเวลาทำการในวันที่ 31 ธันวาคม 2020 ในทันที โดยคำสั่งดังกล่าวมีผลกับองค์กรที่มีการใช้งานรุ่นของ SolarWinds Orion ที่ไม่ได้รับผลกระจาก SUNBURST และ SUPERNOVA เท่านั้น

มาตรการดังกล่าวเกิดจากความพยายามในการลดความเสี่ยงและควบคุมสถานการณ์หลังจากเกิดการโจมตี SolarWinds ในลักษณะ Supply-chain attack ซึ่งส่งผลให้เกิดผลกระทบกับระบบอื่นเป็นจำนวนมาก สำหรับรุ่นล่าสุดของ SolarWinds Orion ที่ CISA แนะนำให้ทำการอัปเดตโดยทันทีมีตามรายการดังต่อไปนี้

2019.4 HF 6 (released December 14, 2020)
2020.2.1 HF 2 (released December 15, 2020)
2019.2 SUPERNOVA Patch (released December 23, 2020)
2018.4 SUPERNOVA Patch (released December 23, 2020)
2018.2 SUPERNOVA Patch (released December 23, 2020)
สำหรับผู้อ่านที่ต้องการติดตามข้อมูลเพิ่มเติมเกี่ยวกับสถานการณ์และรายละเอียดการโจมตี SolarWinds สามารถอ่านจากบทวิเคราะห์โดยทีม Intelligent Response ได้ที่ https://www.

สรุปมหากาพย์ SolarWinds Supply Chain Attack พร้อม IR Playbook

INTRODUCTION
ในวันที่ 8 ธันวาคมที่ผ่านมา บริษัทด้านความปลอดภัยไซเบอร์ FireEye ประกาศการตรวจพบการโจมตีระบบของตนและนำไปสู่บทความคำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบซึ่งตีพิมพ์ในวันถัดมาโดยทีม Intelligent Response อย่างไรก็ตาม การโจมตี FireEye เป็นเพียงจุดเริ่มต้นเล็กๆ เท่านั้นของมหากาพย์การโจมตีทางไซเบอร์แห่งปี 2020

SolarWinds Orion ซึ่งเป็นผลิตภัณฑ์สำหรับจัดการบริหารรวมไปถึงตั้งค่าเครือข่ายถูกโจมตีโดยผู้โจมตีซึ่งยังไม่มีข้อมูลแน่ชัด ผู้โจมตีทำการโจมตี SolarWinds เพื่อทำการฝังโค้ดที่เป็นอันตรายไว้ใน SolarWinds Orion ส่งผลให้ผู้ใช้งาน SolarWinds Orion ในรุ่นที่มีการอัปเดตและได้รับโค้ดที่เป็นอันตรายทั่วโลกตกอยู่ในความเสี่ยง ยิ่งไปกว่านั้นอาจมีความเป็นไปได้ที่การโจมตีจะเกิดขึ้นจากผู้โจมตีสองกลุ่มที่ไม่เกี่ยวข้องกันมาก่อนด้วย

ในบทความนี้ ทีม Intelligent Response จากบริษัท ไอ-ซีเคียว จำกัด จะขอสรุปเหตุการณ์การโจมตี SolarWinds ในลักษณะของ Supply-chain attack ซึ่งเชื่อว่าเป็นจุดเริ่มต้นของการโจมตี FireEye และนำไปสู่หนึ่งในการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดต่อรัฐบาลสหรัฐฯ รวมไปถึงบริษัทไอทียักษ์ใหญ่อีกหลายบริษัท รวมไปถึงแผนในการตอบสนองและรับมือเหตุการณ์ดังกล่าวในลักษณะของ Incident response playbook เพื่อให้ศักยภาพในการรับมือและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยนี้นั้นพัฒนาไปพร้อมกับขีดจำกัดของภัยคุกคามครับ

เนื้อหาภายในบทความจะถูกแบ่งเป็นหัวข้อตามลำดับดังนี้

ลำดับเหตุการณ์ด้านความปลอดภัย (Timeline)
เหตุการณ์การโจมตี SolarWinds (The SolarWinds Intrusion)
รายละเอียดและการวิเคราะห์เหตุการณ์ด้านความปลอดภัย (Analysis)

ข้อมูลผู้โจมตี (Threat actor)
เป้าหมายในการโจมตี (Targets)
ช่องโหว่ที่ใช้ในการโจมตี (Vulnerability)
รูปแบบและพฤติกรรมการโจมตี (Attack Techniques)

รายละเอียดและการวิเคราะห์มัลแวร์ที่ปรากฎในการโจมตี (Malware Analysis)

รายละเอียดมัลแวร์ SUNBURST
รายละเอียดมัลแวร์ TEARDROP
รายละเอียดมัลแวร์ RAINDROP
รายละเอียดมัลแวร์ BEACON
รายละเอียดมัลแวร์ SUPERNOVA
รายละเอียดมัลแวร์ GOLDMAX
รายละเอียดมัลแวร์ GOLDFINDER
รายละเอียดมัลแวร์ SIBOT

คำแนะนำในการระบุหาภัยคุกคาม (Threat Detection/Hunting)
คำแนะนำในการตอบสนองภัยคุกคาม (Incident Response)

คำแนะนำในการจำกัดความเสียหาย (Containment)
คำแนะนำในการกำจัดภัยคุกคาม (Eradication)
คำแนะนำในการฟื้นฟูระบบ (Recovery)

ข้อมูลตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise)
แหล่งข้อมูลอ้างอิงเพิ่มเติม (Additonal References/Resources)

TIMELINE

September 4, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีทำการโจมตีระบบของ SolarWinds อ้างอิงจากหลักฐานดิจิตอลที่ตรวจพบ

September 12, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีทำการแทรกโค้ดอันตรายลงไปในแพลตฟอร์ม Orion ครั้งแรก เชื่อว่าเป็นการดำเนินการเพื่อทดสอบว่าสามารถดำเนินการได้จริง

November 4, 2019 (อ้างอิง: SolarWinds)

ผู้โจมตีหยุดช่วงการทดสอบแทรกโค้ดลงในแพลตฟอร์ม Orion

February 20, 2020 (อ้างอิง: SolarWinds)

มัลแวร์ SUNBURST ถูกคอมไพล์ลงแพลตฟอร์มของ Orion เป็นครั้งแรก

March 26, 2020 (อ้างอิง: SolarWinds)

มีการกระจาย Hotfix ของแพลตฟอร์ม Orion ที่มีมัลแวร์ SUNBURST ฝังตัวอยู่ให้แก่ลูกค้า

June 4, 2020 (อ้างอิง: SolarWinds)

ผู้โจมตีถอนการติดตั้งมัลแวร์ SUNSPOT ซึ่งใช้ในการแทรกโค้ด SUNBURST ออกจากระบบที่ใช้ในการพัฒนาซอร์สโค้ด Orion

December 8 (อ้างอิง: FireEye):

FireEye ตรวจพบการบุกรุกระบบภายในของบริษัท ผู้โจมตีสามารถเข้าถึงเครื่องมือสำหรับทำ Red Teaming Assessment ได้ อ่านรายละเอียดเพิ่มเติมของเหตุการณ์ดังกล่าวได้ที่บทความ "คำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบ" โดยทีม Intelligent Response

December 12, 2020 (อ้างอิง: SolarWinds)

SolarWinds ได้รับแจ้งเกี่ยวกับการตรวจพบมัลแวร์ SUNBURST

December 13 (อ้างอิง: FireEye, SolarWinds, Department of Homeland Security, Microsoft):

FireEye เปิดเผยแคมเปญการโจมตีโดยกลุ่ม UNC2452 ซึ่งใช้รูปแบบการโจมตีแบบ Supply chain attack กับผลิตภัณฑ์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ SUNBURST, TEARDROP และ BEACON
SolarWinds ประกาศ Security advisory ยืนยันการถูกโจมตีพร้อมกับรายละเอียดและคำแนะนำในการลดผลกระทบ
Department of Homeland Security หรือกระทรวงความมั่นคงมาตุภูมิสหรัฐฯ ออกประกาศ Emergency Directive 21-01 Mitigate SolarWinds Orion Code Compromise เพื่อให้คำแนะนำในการลดผลกระทบจากการบุกรุกและแก้ไขโค้ดการทำงานในซอฟต์แวร์ SolarWinds Orion สำหรับหน่วยงานรัฐฯ
Microsoft ออกรายงานการวิเคราะห์สถานการณ์และพฤติกรรมการโจมตี

December 14 (อ้างอิง: Reuters, New York Times, The Register, Washington Post, Krebs on Security, The Wall Street Journal, Bleeping Computer, The Hacker News, Help Net Security, Politico, SEC, ZDNet, Security Week, @vinodsparrow, Threatpost, Volexity):

มีการรายงานข่าวว่าการโจมตีที่เกิดขึ้นอาจเกี่ยวข้องกับกลุ่มแฮกเกอร์ซึ่งทำงานให้ประเทศรัสเซีย
การโจมตีดังกล่าวถูกใช้เพื่อเข้าถึงและอ่านอีเมลของหน่วยงานภายในกระทรวงการคลัง, หน่วยงาน National Telecommunications and Information Administration (NTIA) ภายใต้กระทรวงพาณิชย์สหรัฐฯ และกระทรวงความมั่นคงมาตุภูมิ
รายงานข่าวจากบางสำนักระบุว่าการโจมตีที่เกิดขึ้นนั้นเกิดข้องกับการบุกรุกระบบของ FireEye ที่มีการประกาศมาในวันที่ 8 ธันวาคม
รัฐมนตรีต่างประเทศรัสเซียตอบโต้ใน Facebook ของสถานทูตรัสเซียในสหรัฐฯ โดยอ้างว่าถูกกล่าวหาว่าเป็นผู้อยู่เบื้องหลังการโจมตี
SolarWinds แจ้งต่อคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (The Securities and Exchange Commission – SEC) เกี่ยวกับสถานการณ์ที่เกิดขึ้น โดยหนึ่งในรายละเอียดที่มีการเปิดเผยออกมานั้น SolarWinds ระบุว่ามีลูกค้า 33,000 รายที่ใช้ SolarWinds Orion และน้อยกว่า 18,000 รายที่คาดว่ามีการติดตั้งอัปเดตที่มีมัลแวร์ SUNBURST อยู่ โดย SolarWinds ได้มีการติดต่อและแจ้งเตือนลูกค้าทั้งหมด 33,000 รายแล้ว
SolarWinds ยังมีการแจ้งต่อ SEC เพิ่มเติมด้วยว่า ได้รับการแจ้งเตือนจากไมโครซอฟต์เรื่องการตรวจพบการโจมตีและบุกรุกบัญชี Office 365 ขององค์กร ซึ่งทางองค์กรกำลังตรวจสอบอยู่
นักวิจัยด้านความปลอดภัย Vinoth Kumar ได้ออกมาทวีตเปิดเผยว่า ตนได้มีการแจ้งเตือนไปยัง SolarWinds ตั้งแต่เดือนพฤศจิกายน 2019 หลังจากค้นพบว่าโครงการซอฟต์แวร์ของ SolarWinds โครงการหนึ่งบนเว็บไซต์ GitHub มีการระบุข้อมูลสำหรับเข้าถึงระบบ downloads.