Компания Microsoft опубликовала дополнительные сведения об атаке, совершённой через компрометацию инфраструктуры компании SolarWinds и внедрение бэкдора в платформу управления сетевой инфраструктурой SolarWinds Orion, которая применялась в корпоративной сети Microsoft. Разбор инцидента показал, что атакующие получили доступ к некоторым корпоративным учётным записям Microsoft. В ходе аудита было выявлено, что с данных учётных записей производилось обращение к внутренним репозиториям с кодом продуктов Microsoft.

Утверждается, что права скомпрометированных учётных записей позволили только просмотреть код, но не предусматривали возможности внесения изменений. Компания Microsoft заверила пользователей, что дополнительная проверка подтвердила отсутствие внедрения вредоносных изменений в репозиторий. Также не было выявлено следов доступа атакующих к данным клиентов Microsoft, попыток компрометации предоставляемых сервисов и использования инфраструктуры Microsoft для совершения атак на другие компании.

Напомним, что компрометация компании SolarWinds привела к внедрению бэкдора не только в сеть Microsoft, но и во многие другие компании и правительственные учреждения, пользующиеся продуктом SolarWinds Orion. Обновление SolarWinds Orion с бэкдором было установлено в инфраструктуры более 17 тысяч клиентов SolarWinds, в том числе пострадали 425 из 500 компаний из списка Fortune 500, а также крупнейшие финансовые учреждения и банки, сотни университетов, многие подразделения вооруженных сил США и Великобритании, Белый дом, АНБ, государственный департамент США и Европарламент. Среди клиентов SolarWinds также числятся такие крупные компании, как Cisco, AT&T, Ericsson, NEC, Lucent, MasterCard, Visa USA, Level 3 и Siemens.

Бэкдор позволял получить удалённый доступ к внутренней сети пользователей SolarWinds Orion. Вредоносное изменение поставлялось в составе версий SolarWinds Orion 2019.4 - 2020.2.1, выпущенных c марта по июнь 2020 года. Первые следы использования бэкдора датированы весной 2020 года.

В ходе разбора инцидента всплыло наплевательское отношение к безопасности крупных поставщиков корпоративных систем. Предполагается, что доступ к инфраструктуре SolarWinds был получен через учётную запись в Microsoft Office 365. Атакующие получили доступ к сертификату SAML, применяемому для формирования цифровых подписей, и использовали данный сертификат для генерации новых токенов, допускающих привилегированный доступ к внутренней сети.

До этого, ещё в ноябре 2019 года, сторонними исследователями безопасности отмечалось использование тривиального пароля "SolarWind123" для доступа с правом записи к FTP-серверу с обновлениями продуктов SolarWinds, а также утечка пароля одного из сотрудников SolarWinds в публичном git-репозитории. Более того, уже после выявления бэкдора, SolarWinds какое-то время продолжал распространение обновлений с вредоносными изменениями и сразу не отозвал сертификат, используемый для заверения своих продуктов цифровой подписью (проблема всплыла 13 декабря, а сертификат был отозван 21 декабря). В ответ на жалобы на вывод предупреждений системами выявления вредоносного ПО, клиентам рекомендовалось отключить проверку, списывая предупреждения на ложные срабатывания.

До этого представители SolarWinds активно критиковали модель разработки СПО, сравнивая использование открытого кода с едой грязной вилкой и заявляя, что открытая модель разработки не исключает появления закладок и только проприетарная модель может обеспечить контроль над кодом.

Дополнение 1: Разбор начинки бэкдора.

Дополнение 2: Министерство юстиции США раскрыло информацию о том, что атакующие получили доступ к почтовому серверу министерства, базирующемуся на платфрме Microsoft Office 365. Предполагается, что в ходе атаки имела место утечка содержимого почтовых ящиков около 3 тысяч сотрудников министерства.

Дополнение 3 от 7 января: Издания New York Times и Reuters без детализации источника сообщили о расследовании в ФБР возможной связи компании JetBrains c компрометацией SolarWinds. В SolarWinds применялась поставляемая в JetBrains система непрерывной интеграции TeamCity. Предполагается, что атакующие могли получить доступ из-за некорректных настроек или использования необновлённой версии TeamCity, содержащей неисправленные уязвимости. Директор JetBrains отверг домыслы о связи компании с атакой и указал, что правоохранительные органы или представители SolarWinds с ними не связывались по поводу возможной компрометации TeamCity в инфраструктуре SolarWinds.

Дополнение 4 от 12 января: Организаторы атаки выставили на продажу исходные тексты продуктов и внутренних инструментов Microsoft, Cisco, SolarWinds и FireEye, полученные в ходе атак через бэкдор в SolarWinds Orion. В том числе пострадавшим компаниям предоставлена возможность выкупить обратно скопированный код для остановки его дальнейшего распространения.

Дополнение 5 от 13 января: Компания SolarWinds опубликовала отчёт, судя по которому их инфраструктура была скомпрометирована ещё в сентябре 2019 года и атакующие длительное время изучали процессы разработки и экспериментировали с изменением кода перед подстановкой итогового бэкдора в финальный продукт. Первая безвредная проверочная модификация была добавлена в одной из обновлений октябре 2019 года.