Microsoft ha recentemente spiegato in modo più approfondito come è avvenuto l'attacco informatico di SolarWinds, descrivendo in dettaglio la seconda fase dell'attacco e i tipi di malware in uso.

Per un attacco con tanti bersagli di alto profilo quanti SolarWinds, ci sono ancora molte domande a cui è necessario rispondere. Il rapporto di Microsoft rivela una serie di nuove informazioni sull'attacco, che coprono il periodo dopo che gli aggressori hanno lasciato la backdoor Sunburst.

Microsoft spiega la seconda fase dell'attacco informatico di SolarWinds

Il Microsoft Security blog fornisce uno sguardo a "L'anello mancante", il periodo da quando la backdoor Sunburst (indicata come Solorigate di Microsoft) è stato installato su SolarWinds per l'impianto di vari tipi di malware all'interno della vittima reti.

Come già sappiamo, SolarWinds è uno degli "attacchi di intrusione più sofisticati e prolungati del decennio" e che il gli aggressori "sono operatori di campagna esperti che hanno pianificato ed eseguito attentamente l'attacco, rimanendo elusivi pur mantenendo persistenza."

instagram viewer

Il blog di Microsoft Security conferma che la backdoor originale Sunburst è stata compilata a febbraio 2020 e distribuita a marzo. Quindi, gli aggressori hanno rimosso la backdoor Sunburst dall'ambiente di costruzione di SolarWinds nel giugno 2020. Puoi seguire l'intera sequenza temporale nell'immagine seguente.

Microsoft ritiene che gli aggressori abbiano trascorso del tempo a preparare e distribuire impianti Cobalt Strike personalizzati e unici e l'infrastruttura di comando e controllo, e la "vera attività pratica da tastiera molto probabilmente è iniziata già a maggio".

La rimozione della funzione backdoor da SolarWinds significa che gli aggressori sono passati dalla richiesta di accesso backdoor tramite il fornitore all'accesso diretto alle reti della vittima. La rimozione della backdoor dall'ambiente di compilazione è stato un passo verso il camuffamento di qualsiasi attività dannosa.

Relazionato: Microsoft rivela l'effettivo obiettivo dell'attacco informatico di SolarWinds

Microsoft rivela l'effettivo obiettivo dell'attacco informatico di SolarWinds

Entrare nella rete della vittima non era l'unico obiettivo dell'attacco.

Da lì, l'attaccante ha fatto di tutto per evitare di essere scoperto e distanziare ogni parte dell'attacco. Parte del ragionamento alla base di ciò era che anche se l'impianto di malware Cobalt Strike fosse stato scoperto e rimosso, la backdoor di SolarWinds era ancora accessibile.

Il processo anti-rilevamento ha coinvolto:

  • Distribuzione di impianti Cobalt Strike unici su ogni macchina
  • Disabilitare sempre i servizi di sicurezza sulle macchine prima di procedere con lo spostamento laterale della rete
  • Cancellazione di log e timestamp per cancellare impronte e persino di disabilitare la registrazione per un periodo per completare un'attività prima di riaccenderla.
  • Corrispondenza di tutti i nomi di file e di cartelle per mascherare i pacchetti dannosi sul sistema della vittima
  • Utilizzo di regole firewall speciali per offuscare i pacchetti in uscita per processi dannosi, quindi rimuovere le regole al termine

Il blog sulla sicurezza di Microsoft esplora la gamma di tecniche in modo molto più dettagliato, con una sezione interessante che esamina alcuni dei metodi anti-rilevamento veramente nuovi utilizzati dagli aggressori.

SolarWinds è uno degli hack più sofisticati mai visti

Non c'è dubbio nelle menti dei team di risposta e sicurezza di Microsoft che SolarWinds sia uno degli attacchi più avanzati di sempre.

La combinazione di una complessa catena di attacchi e di un'operazione prolungata significa che le soluzioni difensive devono essere complete visibilità interdominio sull'attività degli aggressori e fornire mesi di dati storici con potenti strumenti di caccia per indagare nel passato come necessario.

Potrebbero esserci ancora altre vittime in arrivo. Recentemente abbiamo segnalato che anche gli specialisti di antimalware Malwarebytes sono stati presi di mira nell'attacco informatico, sebbene gli aggressori abbiano utilizzato un metodo di accesso diverso per ottenere l'accesso alla sua rete.

Relazionato: Malwarebytes ultima vittima dell'attacco informatico di SolarWinds

Data la distanza tra la consapevolezza iniziale che si è verificato un attacco informatico così enorme e la gamma di obiettivi e vittime, potrebbero esserci ancora più importanti aziende tecnologiche a farsi avanti.

Microsoft ha rilasciato una serie di patch volte a ridurre il rischio di SolarWinds e dei tipi di malware associati nel suo file Patch di gennaio 2021 martedì. Le patch, che sono già state pubblicate, mitigano una vulnerabilità zero-day che Microsoft ritiene essere collegata al cyberattacco di SolarWinds e che era sotto sfruttamento attivo in natura.

E-mail
Che cos'è un hack della catena di approvvigionamento e come puoi stare al sicuro?

Non riesci a sfondare la porta principale? Attacca invece la rete della catena di approvvigionamento. Ecco come funzionano questi hack.

Argomenti correlati
  • Sicurezza
  • Notizie tecniche
  • Microsoft
  • Malware
  • Porta sul retro
Circa l'autore
Gavin Phillips (709 articoli pubblicati)

Gavin è il Junior Editor per Windows e Technology Explained, un collaboratore regolare del Really useful Podcast, ed è stato l'editor per il sito gemello criptato di MakeUseOf, Blocks Decoded. Ha una laurea in scrittura contemporanea con pratiche di arte digitale saccheggiate dalle colline del Devon, oltre a oltre un decennio di esperienza di scrittura professionale. Gli piacciono abbondanti quantità di tè, giochi da tavolo e calcio.

Altro di Gavin Phillips

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Ancora un passo…!

Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.

.