ABD Hazine Bakanlığı ve FireEye Saldırılarıyla Bağlantılı SolarWinds Olay Analizi

ABD‘nin en büyük ve en eski gazetelerinden olan Washington Post, 13 Aralık 2020‘de SolarWinds Orion yazılımı aracılığıyla ABD Hazine Bakanlığı da dahil olmak üzere çok sayıda devlet kurumunun güvenliğinin ihlal edildiğini ve çok sayıda gizli verinin çalındığı bildirdi. Bu tarihden birkaç gün önce ise ABD’nin en büyük siber güvenlik şirketlerinden biri olan FireEye, hacklendiğini ve red team araçlarının muhtemelen “devlet destekli” bir operasyon sonucunda çalındığını açıklamıştı.

Art arda gerçekleştirilen bu saldırının arkasında Rusya destekli APT29/Cozy Bear olarak bilinen APT grubunun olduğu ve saldırılarda SolarWinds’in güncelleme sunucularının kullanıldığı tespit edildi.

Dünya çapında 1,5 milyondan fazla aktif kullanıcısı olan SolarWinds, ağ ve sistem altyapı yönetimleri, sanallaştırma yönetimi, güvenlik yönetimi, veritabanı yönetimi gibi ürün yazılımı sağlamakta ve hizmetler vermektedir. SolarWinds, tipik ağlardaki hemen hemen her sistemi ve cihazı izleyebilir bu özelliği bir saldırgan perspektifinden oldukça öncem arz eder. Ortamınızda belirli düzeyde yönetici haklarına sahip herhangi bir sistem savunmasız duruma düşebilir.

FireEye, yaptığı son açıklamada, yazılım güncelleme yoluyla dağıtılan küresel çapta yeni bir saldırı kampanyası belirlediklerini açıkladı. Kampanyanın arkasındaki aktörler UNC2452 olarak takip ediliyor. Belirlenen kampanyanın, yaygın olarak kullanılan BT altyapı yönetim yazılımı olan SolarWinds Orion ağ izleme ürününe yapılan güncellemeler yoluyla SUNBURST adı verilen zararlı yazılımı dağıttığı tespit edildi.

Yapılan analizlere göre, bu kampanyanın bir parçası olarak gerçekleştirildiğine inanılan saldırılar bazı ortak unsurlar içeriyor:

• Kötü amaçlı SolarWinds güncellemesi: Bir saldırganın kurbanın ortamına uzaktan erişmesine izin veren Orion yazılımı için yasal yazılım güncellemelerine kötü amaçlı kod eklenebildiği,
• Light malware footprint: Tespit edilmekten kaçınırken görevi yerine getirmek için sınırlı kötü amaçlı yazılım kullanıldığı,
• Gizliliğin önceliklendirilmesi: Normal ağ etkinliğine uyum sağlamak için dikkatle hareket edildiği,
• Yüksek OPSEC: Sabırla keşif yapıldığı ve atfedilmesi zor araçlar kullanıldığı tespit edilmiştir.

Kampanyanın 2020 ilkbaharında başladığı ve hala devam ettiği düşünülmekte.

SUNBURST Backdoor Analizi

SolarWinds.Orion.Core.BusinessLayer.dll, üçüncü taraf sunucularla HTTP aracılığıyla iletişim kuran ve arka kapı içeren Orion yazılım çerçevesinin bir bileşenidir. SolarWinds Orion eklentisinin truva atı haline getirilmiş sürümü SUNBURST olarak isimlendirildi.

Zararlı yazılımın iki hafta hareketsiz bir şekilde bekledikten sonra, dosyaları aktarma, dosyaları yürütme, sistemi profilleme, makineyi yeniden başlatma ve sistem hizmetlerini devre dışı bırakma becerilerini içeren “Jobs” adı verilen komutları yürüttüğü tespit edildi. Kötü amaçlı yazılım, ağ trafiğini Orion İyileştirme Programı (OIP) protokolü olarak gizleyip keşif sonuçlarını meşru yapılandırma dosyalarında sakladığı ve böylece klasik SolarWinds etkinliğine uyum sağlayarak tespit edilmeyi önlediği anlaşıldı. Ayrıca backdoor, işlemler, hizmetler ve sürücüler bazında çalışan forensic ve anti-virüs araçlarını tanımlamak için birden çok gizlenmiş engelleme listesi kullandığı tespit edildi.

Arka kapılı yazılımda SolarWinds dijital imzası

Mart – Mayıs 2020 tarihleri ​​arasında truva atı uygulanmış birden fazla güncelleme dijital olarak imzalandı ve SolarWinds güncellemeleri web sitesinde yayınlandı. Güvenliği ihlal edilen paketin tamamı hala çevrimiçi olarak barındırılıyor aşağıdaki linkten indirerek analizini yapabilirsiniz.

hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp

Yukarıda, SolarWinds.Orion.Core.BusinessLayer.dll bileşeni ile birlikte truva atı haline getirilmiş standart bir Windows Installer Düzeltme Eki ve güncelleme dosyası bulunmakta. Güncelleştirme yüklendikten sonra kötü amaçlı DLL, sistem yapılandırmasına bağlı olarak gerçek SolarWinds.BusinessLayerHost.exe veya SolarWinds.BusinessLayerHostx64.exe tarafından yüklenir. Zararlı yazılım, iki hafta kadar hareketsiz bir şekilde bekledikten sonra, avsvmcloud[.]com‘un bir subdomainini çözümlemeye çalışacaktır. Daha sonra DNS yanıtı, komuta kontrol (C2) etki alanına işaret eden bir CNAME kaydı döndürür. Kötü amaçlı etki alanlarına yönelik C2 trafiği, normal SolarWinds API iletişimlerini taklit edecek şekilde tasarlanmıştır. Bilinen kötü amaçlı altyapının listesi FireEye’ın GitHub sayfasında yayınlanmıştır.

Sunburst DLL içindeki Jobs sınıfı

 

CollectSystemDescription sınıfı

DeleteFile sınıfı

DeleteRegistryValue Sınıfı

GetFileHash sınıfına bakıldığında zararlının dosya hashing rutini için MD5‘i tercih ettiği görünüyor.

SolarWinds Güvenlik Önerisini Yayınladı

SolarWinds tarafından yayınlanan bir güvenlik önerisine göre, saldırının Mart ve Haziran 2020 arasında piyasaya sürülen SolarWinds Orion Platform yazılımının 2019.4 ile 2020.2.1 arasındaki sürümlerini hedeflediği tespit edildi. Kullanıcıların acilen 2020.2.1 HF 1 sürümüne Orion Platform sürümüne geçmeleri tavsiye edildi.

Firma, şu anda FireEye ve ABD Federal Soruşturma Bürosu ile koordineli olarak saldırının detaylarının araştırıldığını belirterek, 15 Aralık‘ta güvenliği ihlal edilen bileşenin yerini alan ve birkaç ekstra güvenlik önemli sağlayan 2020.2.1 HF sürümünün en kısa sürede yayınlanacağını açıkladı.

IOCs (Indicators of Compromise)

Aşağıdaki liste, bu kampanya sırasında gözlemlenen IOC‘leri göstermektedir. Kurumların, olası önceki kampanyaları tespit etmek veya sistemlerine karşı gelecek saldırıları önlemek için tespitler ve korumalar noktasında önlemler alması gerekiyor.

Komuta Kontrol Merkezi/Sunucusu (C2)

• 13.57.184.217
• 13.59.205.66
• 18.217.225.111
• 18.220.219.143
• 196.203.11.89
• 3.16.81.254
• 3.87.182.149
• 3.87.182.149‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍
• 34.219.234.134
• 54.193.127.66
• 54.215.192.52
• 184.72.1.3
• 184.72.101.22
• 184.72.113.55
• 184.72.145.34
• 184.72.209.33
• 184.72.21.54
• 184.72.212.52
• 184.72.224.3
• 184.72.229.1
• 184.72.240.3
• 184.72.245.1
• 184.72.48.22
• 20.141.48.154
• 8.18.144.11
• 8.18.144.12
• 8.18.144.130
• 8.18.144.135
• 8.18.144.136
• 8.18.144.149
• 8.18.144.156
• 8.18.144.158
• 8.18.144.165
• 8.18.144.170
• 8.18.144.180
• 8.18.144.188
• 8.18.144.20
• 8.18.144.40
• 8.18.144.44
• 8.18.144.62
• 8.18.144.9
• 8.18.145.131
• 8.18.145.134
• 8.18.145.136
• 8.18.145.139
• 8.18.145.150
• 8.18.145.157
• 8.18.145.181
• 8.18.145.21
• 8.18.145.3
• 8.18.145.33
• 8.18.145.36
• avsvmcloud[.]com
• deftsecurity[.]com
• digitalcollege[.]org
• freescanonline[.]com
• globalnetworkissues[.]com
• kubecloud[.]com
• lcomputers[.]com
• seobundlekit[.]com
• solartrackingsystem[.]net
• thedoccloud[.]com
• virtualwebdata[.]com
• webcodez[.]com

Gözlemlenen SolarWinds.Orion.Core.BusinessLayer.dll Dosyasının Kötü Amaçlı Örnekleri

SHA256	File Version	Date first seen
32519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77	2019.4.5200.9083	March 2020
dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b	2020.2.100.12219	March 2020
eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed	2020.2.100.11831	March 2020
c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77	Not available	March 2020
ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c	2020.4.100.478	April 2020
019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134	2020.2.5200.12394	April 2020
ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6	2020.2.5300.12432	May 2020
a25cadd48d70f6ea0c4a241d99c5241269e6faccb4054e62d16784640f8e53bc	2019.4.5200.8890	October 2019
d3c6785e18fba3749fb785bc313cf8346182f532c59172b69adfb31b96a5d0af	2019.4.5200.8890	October 2019

Bu göstergeler, gözlemlenen faaliyet için tek başına değerlendirilmemelidir. Saldırıya ait olduğu söylenen yeni IOC ve TTP‘lerin takip edilmesinde fayda vardır.