L’attacco a SolarWinds è stato definito dal New York Times “uno dei più sofisticati, e forse tra i più grandi, attacchi ai sistemi federali negli ultimi cinque anni”. Si tratta di attacchi chehanno fortemente acuito le preoccupazioni delle aziende sui rischi che coinvolgono i propri ambienti digitali. Il malware utilizzato nell’attacco originario (battezzato “Sunburst”), installato durante gli aggiornamenti del software nel marzo 2020, è stato inserito nella supply chain dei prodotti SolarWinds e ha permesso agli aggressori di ottenere l’accesso non autorizzato a file sensibili, che potrebbero includere dati dei clienti e proprietà intellettuali.
Anche se Darktrace non utilizza SolarWinds direttamente e le sue operazioni non sono state coinvolte da questa violazione, il discovery tool viene utilizzato da un numero significativo di nostri clienti e per questo ritengo importante fare il punto sui rilevamenti che abbiamo eseguito e sugli indicatori comportamentali che i team di sicurezza avrebbero dovuto cogliere comprendendo i normali “modelli di vita” in evoluzione all’interno dell’azienda – in contrapposizione a un approccio basato sulle firme che guarda ai dati storici per prevedere la minaccia odierna.
Concentriamoci sui meccanismi di intrusione, che in molti casi seguono l’attacco automatico iniziale. Si tratta di fasi sofisticate, quasi impossibili da prevedere, poiché guidate dalle specifiche intenzioni e dagli obiettivi che l’aggressore si pone rispetto a ogni singola vittima. Tale approccio rende praticamente inutile l’uso di firme, di strumenti di intelligence sulle minacce o l’applicazione di casi d’uso statici.
Il comportamento del malware di per sé è preconfigurato e comprende il download di ulteriori payload e la connessione a sottodomini basati su algoritmi di generazione del dominio (DGA) di avsvmcloud[.]com. Dal momento che queste prime fasi automatizzate dell’attacco sono state ampliamente analizzate, vorrei però entrare maggiormente nei dettagli delle principali attività post-infezione che si sono verificate – e potenzialmente potranno ancor verificarsi – e di come il nostro Cyber AI analyst avrebbe potuto prevenirle.
I domini C2: l’attacco si mimetizza
L’hacker imposta gli hostname sulla propria infrastruttura di comando e controllo (C2) in modo tale che corrispondano a un hostname legittimo trovato nell’ambiente della vittima. Questa strategia ha permesso all’aggressore di mimetizzarsi nell’ambiente, evitando di destare qualunque tipo di sospetto. Inoltre, sono stati utilizzati i server C2 in prossimità delle proprie vittime, aggirando ulteriormente le trust list basate sulla localizzazione geografica.
Questo processo avrebbe potenzialmente attivato alcuni modelli di Cyber AI di Darktrace, non specificamente progettati per rilevare le modifiche di SolarWinds, ma utilizzati da anni e progettati per rilevare anche le più sottili ma significative attività sospette che si verificano all’interno della rete di un’organizzazione.
Un movimento laterale di successo con il cambio delle credenziali
Una volta che l’aggressore ha ottenuto l’accesso alla rete con le credenziali compromesse, si sposta lateralmente utilizzando più credenziali diverse, differenti da quelle utilizzate per l’accesso remoto.
Questa strategia avrebbe molto probabilmente attivato i seguenti modelli di Cyber AI
Sostituzione temporanea di file e modifica temporanea dei task
In questo caso l’’aggressore utilizza una tecnica di sostituzione temporanea dei file per eseguire in remoto le utility, sostituendone una legittima con la propria, eseguendo il payload e ripristinando infine il file originale. Allo stesso modo, manipola i task pianificati aggiornandone uno legittimo esistente per eseguire i propri strumenti e riportare il task pianificato alla sua configurazione originale. In questo caso, una volta ottenuto l’accesso remoto legittimo, l’aggressore ha infine rimosso i propri strumenti, comprese le backdoor, per non lasciare alcuna traccia.
È molto probabile che questa tattica avrebbe attivato i seguenti modelli di Cyber AI
