FireEye afslører SVR's infiltration i december 2020
Langt over midnat den 12. december 2020 lød en alarm på FireEyes hovedkvarter i Milpitas, Californien. Alarmen markerede starten på afsløringen af en af de mest omfattende og sofistikerede cyberspionage-operationer i nyere tid. Denne hacking-kampagne, med formodede forbindelser til Rusland, havde infiltreret alt fra amerikanske efterretningstjenester i USA til Fortune 500-virksomheder via en tilsyneladende uskyldig softwareopdatering. Centralt i denne digitale storm stod SolarWinds, hvis Orion netværksovervågningsværktøj var blevet omdannet til en trojansk hest af angribere, knyttet til den russiske udenrigsetterretningstjeneste, SVR.
SVR infiltrerer SolarWinds: starten på supply chain-angreb
Operationen tog sin begyndelse i september 2019, da hackere med forbindelse til den russiske SVR trængte ind i SolarWinds' interne systemer. Efter måneders omhyggelig planlægning og udnyttelse af svagheder i SolarWinds' udviklingsproces, lykkedes det dem at indlejre skadelig kode i Orion-platformens rutinemæssige softwareopdateringer. Denne type cyberkriminalitet, hvor angribere kompromitterer en betroet tredjepart for at nå deres endelige mål, er kendt som et supply chain-angreb.
Sunburst-malware rammer 30.000 SolarWinds-kunder i 2020
I marts 2020 begyndte de kompromitterede opdateringer at blive distribueret til SolarWinds' omkring 30.000 kunder globalt. Blandt de ramte var centrale amerikanske statslige institutioner som Justitsministeriet, Energiministeriet og Homeland Security, samt store virksomheder som Microsoft og ironisk nok FireEye selv. For at operere skjult var Sunburst-malwaren – et digitalt signeret backdoor-værktøj – designet til at efterligne legitim Orion-kommunikation over internettet. Efter installation forblev malwaren passiv i op til 14 dage, før den etablerede forbindelse til eksterne kommandocentraler, hvilket markant reducerede risikoen for tidlig opdagelse. Den anvendte desuden en avanceret algoritme til at skifte mellem forskellige servere, hvilket camouflerede den ondsindede trafik som almindelig netværksaktivitet.
Avancerede metoder: TEARDROP og Cobalt Strike brugt
Angribernes avancerede ambitionsniveau blev tydeligt med den såkaldte TEARDROP-payload, en malware-loader, der udelukkende opererede i computerens RAM for at undgå at efterlade digitale beviser på harddiske. Denne metode, kombineret med anvendelsen af legitime værktøjer som Cobalt Strike til at bevæge sig lateralt inden for kompromitterede netværk, skabte en perfekt storm af yderst vanskeligt sporbare aktiviteter. FireEyes CEO, Kevin Mandia, beskrev senere hackernes fremgangsmåde som "enestående disciplineret og metodisk," hvilket understregede den professionelle og sandsynligvis statssponsorerede natur af dette hacking-angreb.
FBI's december 2020 opdagelse af spionage og "postkortet"
Opdagelsen i december 2020 udløste et hidtil uset samarbejde mellem private virksomheder og offentlige myndigheder, herunder sandsynligvis FBI, for at inddæmme skaderne fra dette massive databrud. Ironisk nok var FireEyes egne avancerede hackingværktøjer blevet stjålet i selvsamme angreb, hvilket gav virksomheden en unik indsigt i angribernes metoder. Jagten på digitale beviser og spor førte efterforskerne gennem komplekse lag af proxyservere og kompromitterede IoT-enheder, mens myndighederne i USA kæmpede for at forstå det fulde omfang af infiltrationen. En afgørende vending i efterforskningen skete, da analytikere opdagede, at hackerne specifikt havde søgt efter bestemte nøgleord i kompromitterede systemer – herunder potentielt i e-mail-arkiver – hvilket tydede på målrettet efterretningsindsamling. Dette, sammenholdt med den præcise anvendelse af stjålne legitimationsoplysninger for hvert system, pegede entydigt mod en statssponsoreret aktør med betydelige ressourcer bag denne avancerede spionage. Den såkaldte "postkort-episode", hvor FireEyes CEO modtog et kryptisk postkort relateret til angrebet, understregede den psykologiske krigsførelse involveret i infiltrationen, og affødte i starten diverse spekulationer, hvoraf nogle grænsede til konspirationsteori før fakta blev fuldt belyst.
SolarWinds-hackets arv: Bidens sanktioner og cyberkrigen
Den fulde økonomiske omkostning ved SolarWinds-hacket er vanskelig at opgøre præcist, men konsekvenserne rækker langt ud over de umiddelbare datasikkerhedsbrud. For amerikanske myndigheder i USA medførte hændelsen en omfattende revurdering af it-sikkerhed og protokoller, herunder nye direktiver for supply chain-sikkerhed. Private virksomheder blev tvunget til at foretage en kritisk gennemgang af deres samarbejdsaftaler med tredjepartsleverandører. Internationalt forstærkede dette omfattende hacking-angreb spændingerne mellem USA og Rusland, hvilket kulminerede i, at Biden-administrationen indførte sanktioner mod russiske enheder. Den måske mest vedvarende konsekvens er dog den fundamentale erkendelse af, at selv de mest sikrede systemer er sårbare over for angreb, der udnytter tillid som angrebsvektor. I årene efter har Nobelium-gruppen, den formodede statslige aktør bag SolarWinds-hacket, fortsat deres cyberkriminalitet, nu med fokus på at udnytte geopolitiske kriser som krigen i Ukraine. Deres evne til konstant at udvikle nye taktikker – fra at efterligne medievirksomheder til at udnytte humanitære organisationer – understreger den vedvarende og alvorlige cybertrussel, verden står overfor. SolarWinds-hacket står som et monument over en ny æra, hvor moderne krig og konflikter i stigende grad udkæmpes, ikke kun på fysiske slagmarker, men også i de usynlige datastrømme, der forbinder vores globale internet-baserede samfund. Sådanne statsstøttede operationer kan i nogle tilfælde også ses i lyset af bredere problematikker som international korruption og magtpolitik, selvom de specifikke motiver i denne sag primært peger på spionage.
Kilder:
Vil du læse flere historier om statsstøttet hacking, international spionage og de mest avancerede cyberangreb? Følg KrimiNyt og gå aldrig glip af næste sag.