Månedens udvalgte: Læren fra SolarWinds supply chain-angrebet

20. januar 2021 - Supply chain-angreb kan have store konsekvenser for virksomheder og stater rundt om i verden. Det seneste angreb på SolarWinds er et godt eksempel på, hvor galt det kan gå. I månedens udvalgte fortæller Jacob Herbst om angrebet, og hvordan man som virksomhed kan ruste sig mod lignende angreb.

Året 2020 sluttede med et af de mest alvorlige cyberangreb vi længe har set. Sikkerhedsfirmaet FireEye fortalte at bl.a. de interne værktøjer, de bruger til deres redteam-opgaver, var blevet stjålet i et avanceret cyberangreb. Dette tyveri er i sig selv alvorligt, da det førte til kompromitteringen af nogle ganske potente angrebsværktøjer. Disse vil i hånden på en ondsindet aktør nemt kunne udnyttes til at angribe andre virksomheder. Dette så vi bl.a. også ske efter ShadowBrokers tyveri af NSA’s værktøjskasse, der bl.a. indeholdte EternalBlue, der efterfølgende blev brugt i WannaCry og NotPetya i 2017.

Der var mere under overfladen

Det viste sig imidlertid hurtigt, at angrebet på FireEye kun var toppen af isbjerget, og at hændelsen var del af et langt større angreb, der aktuelt vurderes, at kunne have påvirket op mod 18.000 virksomheder og organisationer i hele verden. Det initiale angreb er et såkaldt supply chain-angreb; det vil sige et angreb, hvor angriberen udnytter den tillid, vi typisk har til dem, vi samarbejder med og de produkter, som vi anvender.

Selve angrebet var udført ved, at angriberen havde kompromitteret softwareudviklingsprocessen hos SolarWinds, således at opdateringer til deres overvågningsprodukt Orion indeholdte en godt skjult bagdør. Denne bagdør udnyttede angriberne efterfølgende meget målrettet til at få adgang til netværket og systemer hos nøje udvalgte virksomeheder – de fleste kendte ofre er pt. store amerikanske teknologivirksomheder og kritiske amerikanske myndigheder. Selve adgangen skete med en række andre værktøjer bl.a. kaldet Sunburst og Raindrop, og målet har tydeligvis været spionage; det vil sige at stjæle informationer bl.a. via adgang til ofrenes cloud-tjenester.

Selve angrebet – inklusiv mange spændende tekniske detaljer – er i øvrigt meget velbeskrevet både i dagspressen og hos en række af de sikkerhedsleverandører, der har efterforsket hændelsen. Jeg har også selv medvirket i en artikel om sagen hos Version2, og jeg vil derfor i denne artikel i stedet fokusere lidt på baggrunden for sagen, og hvad vi fremadrettet kan gøre i forhold til denne type angreb.

Statslig cyberkrig

Det er en udbredt antagelse, at angrebet på og via SolarWinds er udført af en elite-cyberenhed i den russiske efterretningstjeneste. Udfordringen med cyberangreb er som altid, at det er umuligt at bevise 100 %, hvem der står bag, men denne antagelse vurderes som rimelig sikker. I USA er der allerede fra politisk side af, blevet fremført krav om en hård amerikansk gengældelse mod Rusland for angrebet, der bliver betegnet som en virtuel krigserklæring.

Hvis det ender med, at der kommer en eller anden form for modsvar fra USA, er det dog naivt at tro, at dette vil afskrække fra fremtidige angreb. Som det er i øjeblikket, er der ikke nogen spilleregler for spionage – eller handlinger i øvrigt – i cyberspace, hvilket man bl.a. kunne se efter det russiske NotPetya-angreb, der de facto ikke har haft nogen konsekvenser på trods af den massive skade og de store tab, det påførte mange virksomheder og myndigheder – eller det målrettede angreb Nordkorea udførte mod Sony Pictures.

Egentlig afskrækkelse virker kun i de ganske få situationer, hvor en tydelig grænse overskrides, hvor det hurtigt er umiddelbart, hvem der står bag, og hvor “straffen” er markant, tydelig og passende – noget der aldrig gælder for cyberangreb.

En anden udfordring er også, at såfremt man som svar vælger at udføre et cyberangreb, afslører man samtidig egne værktøjer og metoder. Samtidig må det også antages, at de amerikanske efterretningstjenester er involveret i lignende spionageaktioner mod bl.a Rusland, hvorfor det kan virke lidt hult og dobbeltmoralsk at klage over tilsvarende fra andre nationer.

På denne baggrund er vi nok nødt til at forvente, at vi også fremover kommer til at opleve angreb fra stater og efterretningstjenester, og at vi skal planlægge efter det, når vi organiserer vores sikkerhedsarbejde. Stater har bedrevet spionage mod hinanden i hvert fald de sidste 3.000 år, og det er naivt at tro, at de stopper med det – heller ikke i cyberspace.

Supply chain-angreb kan ske for alle

Selve det at anvende supply chain-angreb er ikke nyt og har allerede været benyttet i en række andre situationer. I Edward Snowdens afsløringer af NSA’s arbejdsmetoder fortalte han, hvordan NSA’s såkaldte TAO team målrettet opsnappede en forsender til mål for spionage af bl.a. netværks- og serverudstyr og placerede skjulte bagdøre, som efterfølgende gav NSA adgang.

NotPetya-angrebet, der bl.a. ramte Maersk, var ligeledes et angreb via en opdatering fra en ukrainsk softwareleverandør, og sidste år offentliggjorde Bloomberg en ubekræftet historie om, at bl.a. Amazon og Apple var ramt af et kinesisk supply chain-angreb via serverproducenten Super Micro.

I Danmark har risikoen for supply chain-angreb også været højt på den politiske agenda bl.a. ved en de facto udelukkelse af kinesiske leverandører (specifikt Huawei) til det danske 5G-netværk, og den aktuelle diskussion af leverandøren af overvågningskameraer HiVision i forbindelse med det danske forsvar.

Større fokus på ens leverandører

Et af de mest skræmmende perspektiver ved disse supply chain-angreb er hvor effektivt, de fungerer og hvor mange virksomheder, der potentielt bliver ramt på en gang. Dette medfører naturligvis, at man som virksomhed er nødt til at have fokus på ens leverandører, hvilket desværre er en meget vanskelig proces.

Som eksempel på supply chain-udfordringer kan man blot se på en standard bærbar pc, der nemt indeholder f.eks. en CPU fra USA, chipset fra Taiwan, et bundkort fra Kina, et kamera fra Japan, en harddisk fra Thailand og hukommelse fra Sydkorea. Alt sammen komplekse og avancerede komponenter, der nemt kan indeholde en bagdør, som i praksis er umulig at finde. I praksis har ingen virksomheder ressourcer og kompetencer til 100 % at kontrollere al teknologi, de bruger. I den konkrete sag med SolarWinds havde ingen af de 18.000 ramte virksomheder opdaget bagdøren, og det var først, da FireEye blev opmærksom på det efterfølgende angreb, at det blev opdaget.

Alt dette sætter fokus på de enkelte leverandører, og særligt på virksomheder der udvikler software, hviler der et stort ansvar. Der har efterhånden været en række eksempler på virksomheder, der har fået kompromitteret deres udviklingsproces, og har fået indsneget ondsindede elementer i deres produkter. Det er derfor yderst vigtigt, at softwareudviklingsvirksomheder har et helt særligt fokus på sikkerhed omkring deres produkter – dette drejer sig både om at holde øje med, at deres sourcekode ikke bliver ændret, og at deres build og distribution af software er sikker, herunder også at de f.eks. passer på certifikater til software-signering.

Brugervalidering er kritisk for sikkerheden

Vi har i Dubex flere gange været involveret i at lave Incident Reponse hos virksomheder, der udvikler software, og i disse situationer er det vigtigt at undersøge, om deres udviklingsmiljø, sourcekode m.m. kan være manipuleret – heldigvis er det ikke noget, vi har set indtil nu. Men det er klart vores forventning, at vi i fremtiden kommer til at se flere af denne slags angreb – og at også kriminelle aktører vil benytte dem pga. den store succes.

Derfor er det også særligt tankevækkende at SolarWinds-angrebet gav angriberne mulighed for at tilgå kildekode hos Microsoft – det er dog meldingen fra Microsoft, at de ikke har haft mulighed for at lave ændringer, og vi må antage, at Microsoft har stort fokus på deres sikkerhed.

En af de ting, som SolarWinds-bagdøren er blevet udnyttet til, er at skaffe angriberne adgang til virksomhedernes cloud-services hos Microsoft i form af Azure og Office 365. Dette er sket via avancerede angreb på den måde Active Directory fungerer på, og skaffer angriberne såkaldte SAML tickets, som giver dem adgang uden at blive mødt af den normale brugervalidering.

Baggrunden for at dette har været muligt, er bl.a., at de kompromitterede SolarWinds-servere meget ofte har haft ubegrænsede og administrative rettigheder i netværket, men også at mange virksomheder ikke er gode nok til at holde øje med deres cloud-løsninger – og er en bekræftelse af, at brugervalidering efterhånden bliver en mere og mere kritisk del af sikkerhedsinfrastrukturen.

Hvad kan en normal virksomhed gøre?

Som virksomhed skal man naturligvis være opmærksom på, hvilke leverandører man anvender og deres tilgang til sikkerhed. Men man er også nødt til at erkende, at det som normal virksomhed er urealistisk og urentabelt at undersøge leverandører og produkter godt nok til at opdage f.eks. et så avanceret angreb som det, SolarWinds var udsat for. Det må antages at i hvert fald nogen af de 18.000 virksomheder, der installerede den kompromitterede opdatering fra SolarWinds, har testet den, men på trods af dette var der ingen, der opdagede den indbyggede bagdør.

Som virkomhed kan man fokusere på, at øge robustheden af ens infrastruktur således, at man bliver mindre sårbar, hvis der kommer en kompromitteret enhed ind i ens infrastruktur. I dag har de fleste virksomheder en vis robusthed omkring kompromitterede endpoints, men samme robusthed er sjældent til stede, når man kommer længere ind i infrastrukturen.

I den konkrete sag udnyttede angriberne, at SolarWinds Orion er et overvågningssystem og derfor meget ofte var tildelt administrative rettigheder, da dette har været nemmest i forbindelse med opsætningen. Dette giver imidlertid angriberne en kæmpe fordel for at komme rundt og tilegne sig flere rettigheder. I stedet bør man som virksomhed benytte den gamle tilgang med “least privilege” eller zero-trust dvs., at man antager, at systemer og services kan være kompromitterede, og de derfor kun skal have absolut færrest mulige rettigheder.

Hvis dette princip gennemføres, bliver det samtidig væsentligt nemmere at opdage en kompromittering, da forsøg på at bevæge sig rundt i infrastrukturen bør udløse alarmer fra sikkerhedssystemet.

I forhold til styring af brugere og rettigheder er det tilsvarende vigtigt, at man som virksomhed har et særligt fokus på privilegerede brugere, og hvad de foretager sig. I alt for mange sager ser vi, at angriberne kommer ind i infrastrukturen, tilegner sig administrative rettigheder og derefter udnytter disse til at oprette nye administrative brugere eller på anden vis få tiltvunget sig mere adgang. Men med mere kontrol over administrative rettigheder og overvågning af disse, vil man meget ofte tidligt i forløbet kunne opdage en igangværende kompromittering. Det er samtidig vigtigt at understrege, at denne overvågning skal omfatte samtlige systemer – herunder også systemer i cloud.

Endelig er man nødt til at være forberedt, hvis man alligevel ender som offer for et angreb. Dette omfatter bl.a., at man har mulighed for at kigge tilbage i tiden og se, hvad der er sket – altså  adgang til gammel loginformation. Her er det vigtigt at være opmærksom på, at angriberne meget ofte sletter deres spor, hvorfor logopsamling og -opbevaring skal ske på en beskyttet og adskilt måde. Endelig er det vigtigt at have styr på processer og fremgangsmåde for at kunne analysere et evt. angreb – det vil sige hele forensics-arbejdet.

Konklusion og opsamling

Det er urealistisk at tro, at stater vil holde op med at drive spionage på hinanden og i øvrigt stoppe med at fremme deres nationale mål via cyberangreb. Tilsvarende må man forvente, at der kommer flere supply chain-angreb, da det har vist sig som en effektiv metode, som både efterretningstjenester og kriminelle også fremadrettet vil forsøge at udnytte.

Som virksomhed kan man tage en zero trust-tilgang til systemerne, hvilket vil sige, at øge ens generelle robusthed bl.a. gennem traditionelle tiltag såsom tildeling af rettigheder efter “least privilege”-princippet og et stort fokus på tildelingen og anvendelse af privilegerede rettigheder. Samtidig er det vigtigt at holde øje med, hvad der sker på systemerne, sikre at man har overvågningshistorikken på plads samt være i stand til at reagere hurtigt og effektivt, når man opdager en hændelse.

Læs mere fra Jacob

Månedens udvalgte: God cybersikker jul

Mens vi går på ferie, arbejder de cyberkriminelle. I månedens udvalgte sætter Jacob Herbst fokus på nogle af de ting, vi skal være opmærksomme på, så vi forhåbentlig ikke får besøg af andre fremmede end julemanden.

Månedens udvalgte: Ransomware… Fortid, nutid og fremtid

Fortællingen om ransomware går helt tilbage til 1989, og forventnigen er, at den vil fortsætte langt ud i fremtiden. Teknologien, metoderne og angriberne udvikler sig hele tiden, og det er for de fleste et spørgsmål om tid, før de oplever et ransomware-angreb. Jacob Herbst gennemgår historien.

Månedens udvalgte: Sikkerhed post-COVID-19

Sidste ”Månedens udvalgte” satte fokus på de umiddelbare cybersikkerhedsmæssige følger af COVID-19-pandemien og nogle af de mere langsigtede forandringer og udfordringer, den forventes at medføre. Denne artikel følger op og stiller skarpt på, hvordan vi fremadrettet skal håndtere cybersikkerheden.

Tak for din interesse. Vi har nu registreret din henvendelse og du hører fra os snarest muligt.