Softver kompanije SolarWinds, koji koristi više od 300.000 organizacija širom sveta, između ostalih i američke vladine agencije, kompromitovan je ubacivanjem malicioznog koda u legitiman update.
Orion, softver za IT monitoring i menadžment, apdejtom je trojanizovan. Napadači koji stoje iza ove kampanje na taj način su stekli pristup javnim i privatnim organizacijama širom sveta. Proizvođač nije znao za malicioznu komponentu svog softvera.
Kompromitovani patch je izdat još u martu 2020., a otkriven je tek ovih dana, 9 meseci kasnije.
Pentagon, Stejt department, NASA, Agencija za nacionalnu bezbednost (NSA), Poštanska služba, NOAA, Ministarstvo pravde i Kancelarija predsednika Sjedinjenih Država koriste rešenja SolarWinds. Zato ne čudi da je CISA (Cybersecurity and Infrastructure Security Agency) izdala hitnu direktivu apelujući na federalne civilne agencije da provere da li postoje sumnjive aktivnosti u njihovim mrežama i odmah isključe proizvode kompanije SolarWinds Orion.
Ovu sajber špijunsku kampanju otkrila je kompanija FireEye, koja je nedavno i sama bila žrtva sajber špijunaže.
SolarWinds.Orion.Core.BusinessLayer.dll je komponenta Orion softvera koja sadrži backdoor koji komunicira preko HTTP protokola sa serverom napadača. Ova komponenta ima digitalni potpis SolarWindsa.
Nakon inicijalnog perioda mirovanja od dve nedelje, ova komponenta izvršava komande, tzv. „Jobs“, koji omogućavaju da se šalju i izvršavaju fajlovi, profilira sistem, rebootuju mašine i onemoguće sistemski servisi. Malver maskira mrežni saobraćaj kao Orion Improvement Program (OIP) protocol i čuva rezultate izviđanja u okviru legitimnih konfiguracijskih fajlova plug-ina, što omogućava da se stope sa legitimnim aktivnostima SolarWindsa. Backdoor koristi različite blockliste kako bi otkrio forenzičke i antivirus alate.
Prema rečima FireEye, napadi su delo visokokvalifikovanih aktera, pa se pretpostavlja da iza napada stoji država.
Pogađate koja država je osumnjičena – Rusija. Rusija negira da stoji iza ovih napada.
SolarWinds preporučuje svojim korisnicima da urade upgrade na verziju 2020.2.1 HF 1 Orion platforme. Najnovija verzija je dostupna na korisničkom portalu SolarWindsa.