Антоний Стародомский
Варшава – Москва / 11.01.2021
За драматическими событиями 6 января в Вашингтоне временно ушла на второй план (но ни в коей мере не была игнорирована) так называемая «хакерская атака» на информационные системы государственных служб США. Действия, предпринятые пока не установленными злоумышленниками (Государственный секретарь Помпео и экс-генеральный прокурор Барр ясно дали понять, что под подозрением находится Россия), никак нельзя назвать «хакерской атакой». Это были долговременные, планомерные и системные действия, направленные на широкомасштабное внедрение шпионского программного обеспечения (spyware) в критически важную инфраструктуру государственных служб США, и были выполнены эти действия посредством использования программных продуктов частной компании SolarWinds.
Компания SolarWinds признала имевшие место уязвимости в своем программном обеспечении, опубликовала детальный отчет по выявленным уязвимостям (SolarWinds Security Advisory, публикация 31 декабря 2020 года, с отчетом можно ознакомиться по ссылке), а также опубликовала исправления, доступные для загрузки и использования всеми ее заказчиками. Компания отчиталась о выявлении двух инородных компонентов вредоносного программного обеспечения – SUPERNOVA и SUNBURST. По существу двух этих компонентов вредоносных программ в отчете сказано следующее:
«SUPERNOVA не является вредоносным кодом, встроенным в сборки нашей платформы Orion® для атаки на цепочку поставок. Это вредоносная программа, которое отдельно размещается на сервере, требующем несанкционированного доступа к сети клиента и разработанном так, чтобы выглядеть как часть продукта SolarWinds.
Вредоносная программа SUPERNOVA состояла из двух компонентов. Первым была вредоносная, неподписанная библиотека .dll веб-оболочки «app_web_logoimagehandler.ashx.b6031896.dll»=, специально разработанная для использования на платформе SolarWinds Orion. Второй компонент – использование уязвимости в платформе Orion для развертывания вредоносного кода. Эта уязвимость в платформе Orion была устранена в последних обновлениях… SolarWinds стал жертвой кибератаки на наши системы, которая привела к появлению уязвимости SUNBURST в наших программных сборках платформы Orion® для версий 2019.4 HF 5, 2020.2 без установленного исправления и 2020.2 HF 1, которая, если она присутствует и активирована, потенциально может позволить злоумышленнику поставить под угрозу взлома сервер, на котором работают программные продукты Orion.
Эта атака была изощренной атакой на цепочку поставок, которая относится к нарушению стандартного процесса, приводящему к скомпрометированному результату с целью атаковать пользователей данного программного обеспечения. В этом случае представляется верным, что код был предназначен для целевого использования, поскольку его применение требует ручного вмешательства. Нам сообщили, что характер этой атаки указывает на то, что она могла быть проведена внешним государством, но SolarWinds не проверяла личность атакующего…» [конец цитаты].
В рамках ответа на тотальную угрозу кибербезопасности США, группа по готовности к компьютерным чрезвычайным ситуациям (CERT) Агентства по кибербезопасности и безопасности инфраструктуры (CISA), входящая в состав Министерства внутренней безопасности США (DHS), издала Директиву о чрезвычайных ситуациях 21-01 от 13 декабря 2020 года (с текстом Директивы, которая постоянно обновляется, можно ознакомиться по ссылке ). Детальную и подробную информацию по существу предпринимаемых действий в ответ на киберугрозу безопасности США можно найти на сайте Агентства по кибербезопасности и безопасности инфраструктуры на странице с заголовком SUPPLAY CHAIN COMPROMISE, который переводится как КОМПРОМЕТАЦИЯ ЦЕПОЧЕК ПОСТАВОК – запомним это определение. Страница находится по адресу.
В совместном заявлении ФБР, Агентства кибербезопасности и безопасности инфраструктуры (CISA), офиса директора национальных разведовательных служб (ODNI) и Агентства национальной безопасности (NSA) (пресс-релиз от 5 января 2021 года, можно прочесть по ссылке) сказано следующее:
«По поручению президента Трампа сотрудники Совета национальной безопасности создали рабочую группу, известную как Cyber Unified Coordination Group (UCG), в состав которой входят FBI, CISA и ODNI при поддержке NSA, для координации расследования и исправления ситуации с данным значительным киберинцидент с участием сетей федерального правительства. UCG работает над оценкой масштабов инцидента, однако в настоящий момент представляет следующие заключения о своих усилиях по расследованию и смягчению последствий [киберинцидента]. Эта работа указывает на то, что Advanced Persistent Threat (APT) [инициатор атаки], вероятно, по происхождению российский, несет ответственность за большую часть или все недавно обнаруженные продолжающиеся акты кибер-компромитации как в правительственных, так и в негосударственных сетях. В настоящее время мы считаем, что это была и остается попытка сбора разведданных. Мы предпринимаем все необходимые шаги, чтобы понять весь масштаб этой кампании и отреагировать соответствующим образом. UCG считает, что из примерно 18 000 пострадавших потребителей продукта Orion компании Solar Winds в государственном и частном секторах пострадало меньшее их число в результате последующей деятельности в их системах. На данный момент мы выявили менее десяти правительственных агентств США, которые попадают в эту категорию, и работаем над выявлением и уведомлением неправительственных организаций, которые также могут быть затронуты…» [конец цитаты].
В первые же дни 2021 года, появились явные указания на участие российской частной компании JetBrains в данном инциденте. В частности, речь идет о статье в
Нью-Йорк Таймс от 6 января под названием «Widely Used Software Company May Be Entry Point for Huge U.S. Hacking» (полностью статью можно прочесть по ссылке). В статье сказано следующее:
«Американские спецслужбы и частные следователи по кибербезопасности изучают роль широко используемой компании-разработчика программного обеспечения JetBrains в широкомасштабном российском взломе федеральных агентств, частных корпораций и инфраструктуры Соединенных Штатов Америки, согласно официальным лицам и руководителям, проинформированным в ходе расследования.» [конец цитаты].
В ответ российская компания JetBrains вынуждена была опубликовать пресс-релиз (полностью можно прочесть по ссылке ), в котором, в частности, сказано следующее:
«JetBrains не имеет никакого отношения к этой атаке. Компания SolarWinds — это один из наших клиентов, использующих TeamCity, сервер непрерывной интеграции и развертывания, для сборки программного обеспечения. Компания SolarWinds не делилась с нами подробностями о взломе, поэтому мы располагаем лишь общедоступной информацией. Следует отметить, что TeamCity — это сложный программный продукт, который требует правильной настройки. Если TeamCity каким-либо образом был использован в процессе взлома, то это вполне может быть связано с неправильной настройкой, а не с наличием конкретной уязвимости. Более того, мы всегда ставим безопасность на первое место, поэтому используем прозрачный подход к управлению обновлениями и регулярно выпускаем бюллетень по безопасности. По этому вопросу с нами не связывался ни один государственный орган или агентство безопасности, и у нас нет информации о каком-либо расследовании. В случае ведения подобного расследования власти могут рассчитывать на наше полное содействие...». [конец цитаты].
В дополнение, компания JetBrains утверждает, что уже связалась с представителями Министерства Юстиции США и предложила свое полное содействие [дополнение к пресс-релизу от 8 января сего года].
Теперь мы располагаем всем необходимым для весьма вероятного указания истины в этом деле.
Компрометация цепочек поставок – ключевая фраза здесь. Фактом является то, что в ходе расследования было выявлено вредоносное программное обеспечение, внедрение которого привело к появлению уязвимости SUNBURST - определение дано выше в цитате из пресс-релиза SloarWinds.
«…если она присутствует и активирована, потенциально может позволить злоумышленнику поставить под угрозу взлома сервер, на котором работают программные продукты Orion. Эта атака была изощренной атакой на цепочку поставок, которая относится к нарушению стандартного процесса, приводящему к скомпрометированному результату с целью атаковать пользователей данного программного обеспечения…».
Далее, смотрим, что же за функции выполняет программный продукт TeamCity производства российской компании JetBrains (ссылка на программный продукт здесь). Это как раз и есть тот самый мульти-платформенный, многоязычный, мульти-облачный программный продукт для сборки, тестирования и развертывания любых приложений, пакетов и контейнеров, то есть для управления цепочками поставок. Особую пикантность всей этой истории придает тот факт, что TeamCity можно использовать в облачной конфигурации (а не непосредственно в локальной конфигурации в распоряжении фирмы-разработчика – что называется on-premises). А в облачную конфигурацию TeamCity – да пожалуйста, несанкционированные изменения в процесс управления цепочками поставок и сборок может внести и сам провайдер облачных услуг, разумеется с ведома владельца данного продукта… Остроумное решение.
Создать своего рода фабрику для управления полным жизненным циклом программного продукта, открытое решение. А потом кто-то добавит в компоненты сборки на этой фабрике модули шпионского программного обеспечения, которые будут маскироваться «под своих». На это как раз и намекает компания JetBrains в своем пресс-релизе – «Если TeamCity каким-либо образом был использован в процессе взлома, то это вполне может быть связано с неправильной настройкой, а не с наличием конкретной уязвимости…». Это можно прочесть и так – сам продукт хороший, однако настроили его так неправильно, что кто-то вмешался в процесс сборки и разместил там вредоносный код.
Финальную точку в этом расследовании может поставить ответ на один простой вопрос, а именно – использовала ли компания SolarWinds для полного цикла разработки, тестирования, и развертывания своего программного продукта Orion программный продукт российской компании JetBrains под названием TeamCity. Если да – то задача практически решена и расследование завершено. Да, и следует иметь в виду, что компания JetBeans указывает официально, на своем сайте, всех своих глобальных пользователей, а именно - компании Google, Netflix, Twitter, агентство NASA и многие другие. Значит, и в жизненные циклы разработки, тестирования и развертывания программных продуктов этих компаний и организаций может быть внедрен вредоносный программный код. Еще один повод задуматься над тем, а что вообще-то приобретают американские компании, когда они взаимодействуют с российскими разработчиками?
Как сказал один мой коллега из Кремниевой долины – в скором времени резюме российских разработчиков будут сразу даже не выбрасывать в мусорную корзину, а запускать в шредер. Репутация – она приобретается десятилетиями, а теряется – в один миг.
Comments