Posted: 12 Sep. 2021 5 min. read

Aðfangakeðjuárás á SolarWinds

Ein stærsta netárás sinnar tegundar

Netárásin á hugbúnaðarfyrirtækið SolarWinds í lok árs 2019 er talin vera eitt stærsta netöryggisbrot 21. aldarinnar. Árásin hafði áhrif á þúsundir fyrirtækja og stofnana um allan heim, þar á meðal ríkisstofnanir eins og heimavarnar-, innanríkis- og viðskiptaráðuneyti og ríkissjóð Bandaríkjanna.

SolarWinds er hugbúnaðarfyrirtæki sem býður upp á kerfisstjórnunartæki fyrir net- og innviðaeftirlit, sem og aðra tækniþjónustu. Meðal þeirrar þjónustu sem fyrirtækið býður upp á er vöktunarkerfi sem kallast Orion. Sem vöktunarkerfi hefur Orion stjórnendaréttindi (e. admin privileges) að upplýsingatæknikerfum til að afla gagna um afköst og stöðu kerfa. Það eru þessi aðgangsréttindi og víðtæk dreifing Orion sem gerði SolarWinds að aðlaðandi skotmarki fyrir árásaraðila.

Árásin og áhrif hennar

Árásaraðilar notuðu aðferð sem kölluð er aðfangakeðjuárás; árás þar sem árásaraðilar beina spjótum sínum ekki beint á fyrirtækin sjálf, heldur á aðfangakeðju þeirra. Algengast er að spilliforriti sé komið fyrir í tækja- eða hugbúnaði þjónustuaðila sem dreifist svo í kerfi fyrirtækjanna, svo sem í gegnum leiðir eins og uppfærslu á viðkomandi búnaði.

Í árásinni á SolarWinds réðust árásaraðilar á vöktunarkerfið Orion og komu þar fyrir spilliforriti. SolarWinds gaf svo út uppfærslu á kerfinu, óafvitandi af spilliforritinu, sem gaf árásaraðilum aðgang að hugbúnaðinum í gegnum svokallaðar bakdyr (e. backdoor access). Tugþúsundir viðskiptavina SolarWinds settu upp uppfærsluna og spilliforritið dreifðist áfram ógreint.

Meðal þess sem gerir netárásina á SolarWinds svo viðamikla er hve fágaður kóði árásaraðilanna var og hve langan tíma það tók að uppgötva spilliforritið, en netárásin var ekki tilkynnt opinberlega fyrr en í desember 2020, um 14 mánuðum eftir að árásin var framkvæmd. Árásin var fyrst tilkynnt af netöryggisfyrirtækinu FireEye þegar það greindi það í kerfum viðskiptavina sinna. Fyrirtækið vann svo að því að loka fyrir og einangra þær útgáfur af Orion sem vitað er að innihalda spilliforritið. Þetta var gert með því að breyta léninu sem notað var af spilliforrtinu í svokallaðan neyðarrofa. Sá neyðarrofi er vélbúnaður til að koma í veg fyrir virkni þess. Engu að síður, jafnvel með neyðarrofa, er spilliforritið enn virkt. Rannsakendum býður mikil vinna og hafa þeir gífurlegt magn af gögnum til að skoða, þar sem mörg fyrirtæki sem nota Orion hugbúnaðinn eru ekki enn viss um hvort þau séu laus við spilliforritið, auk þess sem óvitað er hvort árásaraðilarnir hafi komið fyrir öðrum bakdyrum. Það mun því taka töluverðan tíma áður en full áhrif árásarinnar eru þekkt.

Hvaða lærdóm má draga af árásinni á SolarWinds?

Netárásin gæti verið hvati fyrir örar og miklar breytingar á netöryggisstöðlum. Mörg fyrirtæki og stofnanir vinna nú að því að móta nýja ferla og aðferðir til að bregðast við netárásum og einkum áður en þær eiga sér stað. Það er ekki nóg að byggja eldvegg og vona að hann veiti vörn, fyrirtæki og stofnanir þurfa á virkan hátt að leita að veikleikum í kerfum sínum og annaðhvort loka þeim eða breyta þeim í gildrur gegn árásum af þessu tagi.

Þó að netöryggi hafi farið verulega fram á síðasta áratug þá sýnir árás eins og þessi á SolarWinds að það er enn langt í land með að gera stjórn- og netkerfi raunverulega örugg. Hefur þú hugleitt hvort setja ætti upp ferla varðandi vöktun þíns tölvukerfis?

Höfundur

Úlfar Andri Jónasson

Úlfar Andri Jónasson

Verkefnastjóri, Áhætturáðgjöf

Úlfar Andri Jónasson er verkefnastjóri í netöryggisþjónustu Deloitte á Íslandi. Hann er með ýmsar vottanir tengdar upplýsingaöryggi, þar á meðal Certified Information Systems Security Professional (CISSP) og Certified Information Systems Auditor (CISA). Úlfar hefur stjórnað og framkvæmt fjölda úttekta á upplýsingaöryggismálum viðskiptavina Deloitte, þar á meðal veikleikagreiningar, innbrotsprófanir og kóðarýni. Þá hefur Úlfar aðstoðað fyrirtæki við hönnun og innleiðingu stýringa tengdu netöryggi og innra eftirliti, auk þess að hafa víðtæka reynslu í kerfisstjórnun ogmýmsar vottanir frá Microsoft í kerfisrekstri. Úlfar er meðlimur í evrópsku viðbragðsteymi Deloitte vegna netöryggisógna og innbrota í tölvukerfi.