A múlt év utolsó napján jelentette be a Microsoft, hogy a SolarWinds ellátási láncának támadása mögötti hackerek bejutottak a vállalat hálózatába, és megnézhették a Microsoft megoldások forráskódját.

A Microsoft a következő áldozat a SolarWinds ellátási láncának támadása mögötti történetben. A vállalat jelezte, hogy a vélhetően orosz állami segítséggel dolgozó hackerek bejutottak a vállalat belső hálózatába, ahol a termékek forráskódját is megtekinthették.

A SolarWinds támadás

A SolarWinds egy amerikai hálózatmonitorozással foglalkozó vállalat, melynek az Orion nevű szoftverét 33 ezer amerikai nagyvállalat, szervezet használja. December közepén a FireEye nevű biztonsági cég ismertette, hogy tőle ellopták azokat a szoftvereszközöket, melyeket a vállalati hálózatok teszteléséhez használtak.

Amikor a FireEye elkezdte felgöngyölíteni a támadás okát, akkor derült ki, hogy a háttérben a SolarWinds Orion nevű biztonsági terméke van, melynek 2020 eleji frissítésével közel 18 ezer vállalati ügyfél, kormányzati szervezet, amerikai nemzetbiztonsági ügynökség gyakorlatilag egy trójait telepített saját hálózatába. A felderítést megnehezítette, hogy az érintett vállalatok azt tudták, hogy telepítették-e az adott szoftververziót, azzal azonban nem voltak tisztában, hogy a támadók aktiváltak-e bármilyen hátsó ajtót és bejutottak-e a vállalati hálózatba.

Két hétig nyomoztak

A Microsoft is az érintett vállalatok között volt. A szoftvercégnél két hétig elhúzódó nyomozás során derítették fel, hogy a vélhetően orosz állami támogatással működő hackerek a cég hálózatába is bejutottak. A támadóknak sikerült pár belső felhasználói fiókot feltörniük, ezek segítségével a belső hálózatba is bejutottak. Az engedély nélküli behatolás során a támadóknak sikerült megtekinteniük a különböző szoftverek forráskódjait, de nem tudták azokat módosítani.

A Microsoft blogja szerint vállalaton belül az open source iparágban honos módszereknek megfelelően bárki megtekintheti a termékek forráskódját, de csak az engedéllyel rendelkező felhasználók képesek azt módosítani. A közlemény hangsúlyozza, a vállalatnál úgy tervezik a biztonsági rendszereket, hogy számolnak a hálózat feltörésével, a réteges védekezésnek köszönhetően a támadók nem tudtak mélyebbre hatolni.

Még nincs vége a történetnek

A Microsoft megoldásait rengetegen használják vállalati, oktatási és otthoni környezetben egyaránt, termékeinek módosítása rengeteg felhasználóhoz nyithatott volna újabb támadási felületet. A Microsofton túl több technológia nagyvállalat, közöttük a Cisco, Intel, VMware és NVIDIA, egy sor amerikai kormányzati szervezet jelezte, hogy a hátsó ajtót tartalmazó Orion frissítés segítségével a Sunburst malware készítői az ő vállalati hálózatukba is bejutottak.

Ebben az esetben nagy valószínűséggel nem csupán a SolarWinds Orion az egyetlen fertőzési forrás, az amerikai kiberbiztonsági ügynökség szerint egyéb módszereket is használtak a támadásban, de nem részletezték, hogy pontosan mire gondolnak. Azt tanácsolják, az érintett cégek frissítsenek az Orinon 2020.2.1 HF2 változatára, mivel azt nem tartalmaz semmilyen ismert kártevőt.

A cikk forrása: TheHackerNews