SolarWinds saldırısı, 2020 Aralık’ ta keşfedilen ve APT29 grubu tarafından yapılan komplike bir Tedarik Zinciri saldırısıydı. APT29 özel olarak geliştirilmiş zararlı yazılımı Orion yazılımına enjekte etti ve sonrasında bu enfekte olmuş yazılım normal bir yazılım güncellemesi olarak yayıldı. Ayrıca password spraying, token theft, API abuse, spear phishing gibi birçok saldırı ile yetki yükseltme yaptılar. Amerika, Avrupa, Orta Doğu ve Asya’ da bulunan birçok teknoloji firması hatta Homeland Security, Maliye Bakanlığı gibi devlet daireleri ve Intel, Cisco, Microsoft gibi bilinen özel firmalar da bu saldırıdan etkilenenler arasındaydı.
Saldırı ilk olarak FireEye firması tarafından keşfedildi. Firma, müşteri sistemlerindeki anomaliyi gördüklerinde zararlı yazılım tarafından saldırıya uğradıklarını onayladı. Sonrasında Microsoft da aynı şekilde onayladı ancak gazetelere aksi iddia da bulundu. Sonrasında Microsoft, GoDaddy ve FireEye iş birliği içerisinde Orion yazılımının zararlı versiyonları bloke edildi. Backdoor tarafından kullanılan domain’ i etkisiz hale getiren bir anahtar geliştirerek bunu elde ettiler. Bu anahtar SUNBURST zararlısının daha ileri gitmesini engellemeye yönelik çalışmaktadır.
Nisan 2021’ de Amerika ve İngiltere bu saldırıyı Rusya’ nın Dış İstihbarat Servisi’ ne (SVR) atfetti. Kamuya yapılan açıklamalar APT29, CozyBear ve The Dukes grupları ile ilgili alıntılar içeriyordu. Rus hükümeti ise “Bilgi alanındaki kötü niyetli faaliyetler, Rus dış politikasının ilkelerine, ulusal çıkarlara ve devletler arası ilişkiler anlayışına aykırıdır” şeklinde beyanda bulunarak bu atıfları reddetti. Dönemin başkanı Donald Trump ise Çinli bilgisayar korsanları tarafından gerçekleşmiş olabileceğini öne sürdü ama bunu destekleyecek bir kanıt göstermedi. Joe Biden hükümeti ise Rusya’ ya yönelik tam kapsamlı istihbarat çalışmaları ile bu saldırıyı ortaya koyacağını iddia etti. Hatta Ulusal Güvenlik Konseyi’ ne bağlı siber güvenlikten sorumlu Ulusal Güvenlik Danışman Yardımcısı pozisyonu oluşturdu.
Yapılan raporlamalara göre saldırı gidişatı aşağıdaki gibi olmuştur:
SALDIRININ ÖNEMİ
Tehdit aktörleri Orion yazılımını dünya çapında birçok hükümet sistemine ve binlerce özel sisteme erişim sağlayan bir silaha dönüştürdüğü için SolarWinds tedarik zinciri saldırısı küresel bir saldırıdır. Yazılımın ve buna bağlı olarak Sunburst kötü amaçlı yazılımının tüm ağlara erişime sahip olması nedeniyle, birçok hükümet ve kurumsal ağ ve sistem, önemli ihlal riskiyle karşı karşıyadır.
Hack aynı zamanda siber güvenlik sektöründe hızlı ve geniş çaplı bir değişimin katalizörü de olabilir. Pek çok şirket ve devlet kurumu artık bu tür saldırılara gerçekleşmeden önce tepki vermek için yeni yöntemler geliştirme sürecinde. Hükümetler ve kuruluşlar, bir güvenlik duvarı oluşturmanın yeterli olmadığını öğreniyor ve bunun kendilerini korumasını umuyor. Sistemlerindeki zayıf noktaları aktif olarak araştırmalı ve bu tür saldırılara karşı onları ya desteklemeli ya da tuzağa çevirmelidirler.
Saldırının keşfedilmesinden bu yana SolarWinds, müşterilere mevcut Orion platformlarını güncellemelerini önerdi. Şirket, ilk Orion saldırısından bu yana keşfedilen kötü amaçlı yazılım ve diğer potansiyel güvenlik açıkları için yamalar yayınladı. SolarWinds ayrıca müşterilerin Orion izole SolarWinds sunucularını güncelleyememesini ve/veya bu sunuculara erişimi olan hesapların parolalarını değiştirememesini önerdi.
Bazı endüstri uzmanları, Beyaz Saray’ın siber güvenliğe daha fazla odaklanılmasının hayati önem taşıyacağını söyledi. Ancak kuruluşlar, izleme ve işbirliği için modern hizmet olarak yazılım araçlarını benimsemeyi düşünmelidir. Siber güvenlik sektörü son on yılda önemli ölçüde ilerleme kaydetmiş olsa da, bu tür saldırılar, gerçekten güvenli sistemlere sahip olmak için hala kat edilmesi gereken uzun bir yol olduğunu gösteriyor.
MITRE ATT&CK Kullanılan Teknikler
1) Kaynak Geliştirme (Resource Development)
a) T1587.001 (Develop Capabilities: Malware): Saldırganlar Orion’ un meşru bir bileşenine zararlı yazılımı gömdü. Bu bileşen SolarWinds.Orion.Core.BusinessLayer.dll isminde bir DLL kütüphanesiydi. FireEye saldırıyı tespit ettikten sonra bu DLL’ nin Backdoor versionuna SUNBURST ismini verdi. SUNBURST sisteme daha önce görülmemiş payloadlar iletiyordu. TEARDROP bunlardan biri, herhangi bir dosya oluşturmadan sadece memory üzerinden çalışarak kırmızı takım çalışmalarında kullanılan Cobalt Strike aracını çalıştırıyor ve RAT olarak kullanıyor.
b) T1583 (Acquire Infrastructure)
i) .001 (Domains): Saldurganlar bayi domainlerini kullanarak Command&Control elde ettiler.
ii) .003 (Virtual Private Server): Saldırı sırasında kullanmak üzere VPS kiraladılar. FireEye araştırmasına göre tehdit aktörü yalnızca kurbanla aynı ülkeden gelen IP adreslerini kullanmak için VPS kullandı.
2) İlk Erişim (Initial Access)
a) T1195.002 (Supply Chain Compromise: Compromise Software Supply Chain): SolarWinds açıklamalarına göre 2019.4, 2020.2 ve 2020.2 HF1 versiyonları zararlı DLL içermektedir. Ancak bu dosyayı nasıl sabotaj ettikleri kesin değildir. Microsoft, saldırganların kurulum ve dağılım sistemlerine sızıp kodu enjekte ettiğini öne sürerken bazı araştırmacılar Orion kaynak kod repository’ sine doğrudan sızdırılmış FTP credentials ile bağlandığını ve kodu enjekte ettiğini söylüyor.
b) T1078 (Valid Accounts): Saldırganlar elde ettiği credentials ile uzak bağlantı ve yanal hareket sağladı.
c) T1199 (Trusted Relationships): Saldırganlar SolarWinds’ in bulut bilişim partnerinin kullanıcı hesaplarını sızdırdı ve Mimecast tarafından sızdırılmış sertifikaları kullanarak Mimecast müşteri sistemine giriş yaptı.
d) T1133 (External Remote Services): Sızdırılmış hesapları kullanarak SSH, VPN ve diğer uzak bağlantı araçları ile sisteme giriş yaptılar.
e) T1190 (Exploit Public-Facing Application): Microsoft Exchange Control Panel da bulunan CVE-2020–0688 açığını sömürerek ağa giriş yaptılar.
3) Uygulama (Execution)
a) T1569.002 (System Services: Service Execution): Saldırganlar zararlı yazılımı windows servisi gibi çalıştırır. Zararlı DLL dosyasını BussinessLayerHost.exe olarak sisteme yükleyip windows servisi olarak çalıştırdılar.
b) T1047 (Windows Management Instrumentation): Saldırganlar WMI kullanarak yanal hareket için zararlı dosyaları uzaktan çalıştırdılar.
c) T1053.005 (Scheduled Task/Job): Saldırganlar scheduler ve schtasks komutlarını kullanarak yanal hareket için yeni task oluşturdular. Bunun dışında var olan task’ ı manipüle ederek kendi zararlı yazılımlarını çalıştırdılar ve sonra task’ ı eski haline geri getirdiler. Ayrıca sistem açıldığında SUNSPOT kalıcılığını sağlamak için task oluşturdular.
d) T1059 (Command and Scripting Interpreter):
i) PowerShell: Task oluşturmak, veri sızdırmak vb. işlemler için kullandılar.
ii) Windows CMD Shell: Uzaktan komut çalıştırmak için cmd.exe’ yi kullandılar
iii) Visual Basic: Saldırganlar Sibot gibi zararlı yazılımları VB ile yazdı.
4) Kalıcılık (Persistence)
a) T1053.005 (Scheduled Task/Job),
T1078 (Valid Accounts),
T1133 (External Remote Services),
T1587.001 (Develop Capabilities: Malware): Önceki aşamalarda anlatıldığı üzere bu taktikler kalıcılık sağlamak için de kullanılmıştır.
b) T1546.003 (Event Triggered Execution: WMI Event Subscription): Saldırganlar WMI command-line event kullanarak sistem açılırken rundll32.exe ile Backdoor çalıştırılmasını sağladı.
c) T1098 (Account Manipulation):
i) .001 (Additional Cloud Credentials): Saldırganlar OAuth uygulamalarına ve Service Principals’ a credential eklediler.
ii) .002 (Additional Email Delegate Permissions): Saldırganlar Set-CASMailBox CMDLET kullanarak kendi cihazlarını izin verilen olarak eklediler. Böylece kurban mailbox içerisindeki maillere ulaşma izinleri oldu.
iii) .003 (Additional Cloud Roles): Yeni oluşturulan Servis hesaplarına company administrator yetkisi verdiler.
iv) .005 (Device Registration): Set-CASMailBox kullanarak kendi cihazlarını kaydettiler.
d) T1543.003 (Create or Modify System Process: Windows Service): Windows çalıştırıldığında servis olarak kaydedilen zararlı DLL vasıtasıyla TEARDROP zararlı yazılımı çalıştırılır.
5) Yetki Yükseltme (Privilege Escalation)
a) T1078 (Valid Accounts),
T1053.005 (Scheduled Task/Job),
T1546.003 (Event Triggered Execution: WMI Event Subscription),
T1098 (Account Manipulation): Önceki aşamalarda anlatıldığı üzere bu taktikler yetki yükseltmek için de kullanılmıştır.
b) T1484.002 (Domain Policy Modification: Domain Trust Modification): Saldırganlar Azure AD yönetici izni kullanarak domain’ i kendi SAML sertifikalarını kabul etmesi için konfigüre etti.
6) Savunmadan Kaçınma (Defense Evasion)
a) T1078 (Valid Accounts),
T1484.002 (Domain Policy Modification: Domain Trust Modification): Önceki aşamalarda anlatıldığı üzere bu taktikler savunmadan kaçınmak için de kullanılmıştır.
b) T1550 (Use Alternate Authentication Material): Saldırganlar sahte SAML tokenlerini kullanarak kullanıcıları taklit edebildi ve MFA’ yı bypass ederek sisteme giriş yaptı. Ayrıca sahte “duo-sid” cookie kullanarak email hesaplarındaki MFA’ yı bypass ettiler.
c) T1218 (System Binary Proxy Execution: Rundll32): Rundll32.exe kullanarak Backdoor çalıştırıldı.
d) T1553 (Subvert Trust Controls: Code Signing): SUNBURST zararlısını SolarWinds code signing certificate ile imzalayıp Orion enjekte etmeyi başardılar.
e) T1036 (Masquerading): Comand&Control sunucusundaki hostnameleri hedef ağdaki hostnamelere benzer yaptılar. Ayrıca VPN kullanarak aynı ülkeden çıkma IP kullandılar.
f) T1070 (Indicator Removal): Saldırganlar geçici olarak meşru araçları kendininkileri ile değiştirdiler ve işleri bitince eski haline getirdiler.
g) T1562 (Impair Defenses):
i) .001 (Disable or Modify Tools): Service Control Manager kullanarak hedef ağdaki güvenlik izleme cihazlarını etkisiz hale getirdiler.
ii) .002 (Disable Windows Event Logging): Saldırganlar AUDITPOL kullanarak audit loglarının toplanmasını engelledi.
iii) .004 (Disable or Modify System Firewall): “netsh” aracını kullanarak güvenlik duvarı kurallarını güncellediler.
h) T1140 (Deobfuscate/Decode Files or Information): Saldırganlar 7-Zip kullanarak Raindrop zararlı yazılımlarını decode etti.
7) Keşif (Discovery)
a) T1087(Account Discovery): Exchange sunucusu üzerinden
Get-ManagementRolesAssignment CMDLET’ i ile kullanıcı listesini çektiler. Ayrıca domain hesaplarına ulaşmak için Get-ADUser ve Get-ADGroupMember CMDLET’ lerini kullandılar.
b) T1482 (Domain Trust Discovery): Get-AcceptedDomain CMDLET’ ini kullanarak Exchange sunucusunda kabul edilen domainleri incelediler. Ayrıca AdFind kullanarak domainler arası ilişkileri incelediler.
c) T1083 (File and Directory Discovery): Get-WebServicesVirtualDirectory CMDLET’ ini kullanarak konfigüre edilen Exchange sanal klasörüyle ilgili bilgi topladılar.
d) T1096 (Permission Groups Discovery): Yukarıda bahsi geçen metotları kullanarak Exchange sunucusundaki kullanıcı rollerini ve domain gruplarını incelediler.
e) T1057 (Process Discovery): Birçok araç kullanarak çalışan prosesleri incelediler.
f) T1018 (Remote System Discovery): AdFind kullanarak remote sistemleri incelediler.
g) T1082 (System Information Discovery): “fsutil” aracını kullanarak zararlı yazılımı çalıştırmadan önce ssitemin hafızasındaki kullanılabilir alanı incelediler.
h) T1016.001 (System Network Configuration Discovery: Internet Connection Discovery): GoldFinder aracını kullanarak HTTP GET istekleri ile internet bağlantısı var mı incelediler ve proxy serverlarına ulaştılar.
8) Yanal Hareket (Lateral Movement)
a) T1550 (Use Alternate Authentication Material): Önceki aşamalarda anlatıldığı üzere bu taktik yanal hareket için de kullanılmıştır.
b) T1021 (Remote Services):
i) .001 (RDP): Halka açık sistemlerden iç sistemlere giriş yaparken RDP kullandılar.
ii) .002 (SMB Admin Shares): Yönetici hesapları kullanarak hedef kullanıcıya SMB ile bağlantı kurdular.
iii) .006 (Windows Remote Management): PowerShell kabuğunda WinRM kullanarak uzaktan komut çalıştırdılar.
9) Komut ve Kontrol (Command&Control)
a) T1090.001 (Proxy: Internal Proxy): Halka açık sistemlerde SSH port yönlendirme kullandılar ve CobaltStrike örneklerinden birkaçını SMB üzerinden haberleşmesi için konfigüre ettiler.
b) T1105 (Ingress Tool Transfer): Saldırgan grup TEARDROP ve CobaltStrike gibi ekstra yazılımları hedef sisteme yükledi.
c) T1562 (Dynamic Resolution): Dinamik DNS çözümlemesi kullanarak C&C sunucusu için rastgele subdomain oluşturdular.
d) T1071.001 (Application Layer Protocol: Web Protocols): C&C sunucusu ile iletişim için HTTP protokolünü kullandılar.
10) Sızma (Exfiltration)
a) T1048.002 (Exfiltration Over Alternative Protocol: Exfiltration Over Asymmetric Encrypted non-C2 Protocol): Verileri basit bir HTTPS isteği ile hedef sistemin parola korumalı OWA sunucusuna sızdırdılar.
Saldırı Nasıl Tespit Edilebilir?
· Ağ Trafik Analizi: İlk olarak iç ağdaki sistemler arasındaki bağlantılar incelenmeli, daha önce aralarında bağlantı görülmeyen sistemlerde bağlantı oluşması şüphe uyandırmalı. İkincil olarak, trojan C&C sunucusu için sürekli yeni domain oluşturarak bağlantı kurması da aynı şekilde şüphe uyandırmalı.
· Honeypot: Organizasyon ağına Honeypot kurarak saldırgan tespit edilebilir.
· Veri Sızdırma Tespiti: Herhangi bir tespit sistemi kullanarak veri akışı incelenebilir ve saldırı tespit edilebilir.
· Yeni Executable Dosyalar: SolarWinds saldırısında meşru olarak dosyalar değiştirilsede yeni oluşturulan çalıştırılabilir dosyalar ile tespit edilme ihtimali var.
· Yeni Tasklar: Windows üzerinde yeni oluşturulan tasklar veya modifiye edilmiş eski ve meşru tasklar ile saldırı tespit edilebilir.
CISA Hafifletme (Mitigation) Önerileri
· SolarWinds tarafından yayımlanan uygun güncellemeler yapılmalı
· Başarılı bir saldırının etkilerini azaltmak için tüm yazılımları ayrıcalıklı olmayan bir kullanıcı (yönetici ayrıcalıkları olmayan) olarak çalıştırın.
· Kullanıcılara güvenilmeyen web sitelerini ziyaret etmemelerini veya bilinmeyen ya da güvenilmeyen kaynaklar tarafından sağlanan bağlantıları takip etmemelerini hatırlatın.
· Özellikle güvenilmeyen kaynaklardan gelen e-postalarda veya eklerde bulunan hiper metin bağlantılarının oluşturduğu tehditler konusunda kullanıcıları bilgilendirin ve eğitin.
· En Az Ayrıcalık İlkesini tüm sistem ve hizmetlere uygulayın.
KAYNAKÇA
· https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know
· https://attack.mitre.org/campaigns/C0024/
· https://www.linkedin.com/pulse/how-detect-prevent-solarwinds-supply-chain-attack-roger-grimes/