Vzhledem k tomu, že NÚKIB zaznamenal nové skutečnosti a vývoj související s vydaným reaktivním opatřením a současně dochází k některým opakovaným dotazům, rozhodl se zveřejnit doplňující informace k vydanému reaktivnímu opatření ze dne 16. 12. 2020, které je dostupné na úřední desce NÚKIB na tomto odkazu: https://www.nukib.cz/cs/uredni-deska/.

Toto doplnění obsahuje také aktualizovaný seznam nejdůležitějších indikátorů kompromitace.

 

Často kladené dotazy:

1. Je třeba provést aktualizaci na aktuální verzi i na software ve verzi starší, než je verze k březnu 2020?

  • NÚKIB má potvrzeno, že kompromitace probíhala nejméně od března 2020, nemáme potvrzeno ani vyvráceno, že nedošlo ke kompromitaci i dřívějších verzí software.
  • Z vyjádření samotného výrobce vyplývá, že kompromitace byla zjištěna na platformě Orion verze 2019.4 HF 5, 2020.2 bez instalovaného „hot fix“ a 2020.2 HF1. Tím však z pohledu NÚKIB není vyloučena kompromitace verzí starších.
  • Pokud však aktualizace není možná (např. z důvodu hardware, které není s novými verzemi kompatibilní), je přesto (a tím spíše) třeba provést všechny ostatní kroky uložené reaktivním opatřením. Pokud by se kompromitace zjistila, je o tom třeba NÚKIB neprodleně informovat.
  • Do vyšetření incidentu a jeho objasnění a zejména do provedení úkonů uložených reaktivním opatřením NÚKIB důrazně doporučuje zařízení postavené na platformě ORION zmíněného výrobce izolovat od vnější sítě internet. Izolaci doporučujeme o to důrazněji v případech, kdy není možná aktualizace.
  1. Právě se chystáme produkt společnosti SolarWinds pořídit či implementovat do svých informačních systémů, jak mám postupovat?

  • Vzhledem k fázi vyšetřování nelze na tuto otázku v současné době poskytnout 100% odpověď.
  • Ze strany NÚKIB lze doporučit posečkání s nasazením daných produktů do vyšetření celého incidentu, objasnění rozsahu kompromitace a ověření účinnosti protiopatření. Vyšetřování v tuto chvíli probíhá, o nových skutečnostech bude NÚKIB neprodleně informovat.
  1. Máme poslat NÚKIB oznámení o způsobu provedení reaktivního opatření, i když žádné produkty společnosti SolarWinds nepoužíváme?

  • Ty osoby, které reaktivní opatření zavazuje, ale žádné z jmenovaných technologií nepoužívají, pouze sdělí tuto skutečnost NÚKIB prostřednictvím formuláře pro oznámení způsobu provedení reaktivního opatření.
  • Formulář je umístěn na webu NÚKIB zde: https://www.nukib.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/formulare/.
  • Vyplněné formuláře s oznámením způsobu provedeného reaktivního opatření a jeho výsledku prosím zasílejte do datové schránky NÚKIB, ID: zzfnkp3 nebo elektronicky podepsané na e-mail regulace@nukib.cz.
  1. Máme systémy společnosti SolarWinds vypnout?

  • NÚKIB reaktivním opatřením vypnutí systémů nenařídil, protože tomu mohou u některých správců bránit závažné provozní důvody.
  • Rozhodnutí systémy vypnout ze strany správce nic nebrání, je to však na jeho zvážení.
  • Z pohledu NÚKIB je bezpodmínečně nutné zkontrolovat, zda skutečně ke kompromitaci došlo, tedy použít postup uložený reaktivním opatřením.
  • Současně doporučujeme do doby provedení kontroly systémy společnosti SolarWinds izolovat od veřejné sítě internet.
  • V případě, že bude kompromitace zjištěna, neprodleně kontaktujte vládní CERT, který Vám doporučí další postup ve vztahu k zajištění dat o kompromitaci.
  • Pokud z Vašeho pohledu hrozí nebezpečí z prodlení a mohla by provozem systému vzniknout škoda, doporučujeme systém vypnout do doby, než dojde k potvrzenému vyřešení incidentu ze strany SolarWinds.
  • Pokud nelze po zjištění kompromitace software z významných provozních důvodů vypnout, NÚKIB důrazně doporučuje izolaci těchto zařízení od veřejné sítě internet.

Vektor útoku

  • Dodavatelský řetězec byl kompromitován prostřednictvím následujících produktů: Orion Platform 2019.4 HF5, version 2019.4.5200.9083
  • Orion Platform 2020.2 RC1, version 2020.2.100.12219
  • Orion Platform 2020.2 RC2, version 2020.2.5200.12394
  • Orion Platform 2020.2, 2020.2 HF1, version 2020.2.5300.12432

Detekce

Indikátory kompromitace

Kontrola indikátorů kompromitace je nejjednodušším způsobem zjištění kompromitace. Celý jejich aktualizovaný seznam naleznete na konci článku. Nejdůležitějším z nich je momentálně avsmcloud[.]com. Na tuto doménu probíhá prvotní komunikace a může vypadat následovně: 0dbq2m1s3upp0iqh0l0i.appsync-api.us-west-2.avsvmcloud[.]com.

Berte prosím na vědomí, že toto jsou primárně zjištění kompromitovaných partnerů a v našich podmínkách může být doména jiná, nicméně vzorec komunikace bude velmi podobný.

 

Nereálné časy přihlašování

Jelikož útočník využívá komplexní infrastrukturu, je možné detekovat aktivitu kompromitovaného účtu takzvanými „impossible logins“, kdy se účet přihlašuje z geograficky rozdílných míst, mezi kterými v časových intervalech mezi přihlášeními není reálné cestovat. Můžete detekovat false positive, pokud uživatel využívá služby VPN/VPS.

 

Podezřelé využívání tokenů

Jednou z útočníkových aktivit je kompromitace SAML.

Lze detekovat SAML tokeny, které mají delší dobu platnosti, než jakou Vaše organizace využívá.

SAML token může vykazovat nereálné použití – použití tokenu přesně ve chvíli, kdy byl vytvořen.

Lze zaznamenat tokeny, které nemají po delší dobu asociovaný login k uživatelskému účtu.

V případě potvrzené kompromitace

V případě potvrzené kompromitace je z důvodu velké sofistikovanosti útočníka doporučeno komunikovat incident mimo kompromitovanou infrastrukturu. To znamená – mobilní telefony, využívání šifrovaných e-mailů (PGP), jiná trusted e-mailová infrastruktura apod.

Techniky využívané útočníkem

Pokud potvrdíte kompromitaci, můžete se u vyšetřování zaměřit na následující techniky, které útočník využívá. Popis technik, jejich detekci a mitigaci můžete nalézt na https://attack.mitre.org/.

  • Query Registry [T1012]
  • Obfuscated Files or Information [T1027]
  • Obfuscated Files or Information: Steganography [T1027.003]
  • Process Discovery [T1057]
  • Indicator Removal on Host: File Deletion [T1070.004]
  • Application Layer Protocol: Web Protocols [T1071.001]
  • Application Layer Protocol: DNS [T1071.004]
  • File and Directory Discovery [T1083]
  • Ingress Tool Transfer [T1105]
  • Data Encoding: Standard Encoding [T1132.001]
  • Supply Chain Compromise: Compromise Software Dependencies and Development Tools [T1195.001]
  • Supply Chain Compromise: Compromise Software Supply Chain [T1195.002]
  • Software Discovery [T1518]
  • Software Discovery: Security Software [T1518.001]
  • Create or Modify System Process: Windows Service [T1543.003]
  • Subvert Trust Controls: Code Signing [T1553.002]
  • Dynamic Resolution: Domain Generation Algorithms [T1568.002]
  • System Services: Service Execution [T1569.002]
  • Compromise Infrastructure [T1584]

Aktualizovaný seznam nejdůležitějších indikátorů kompromitace ke dni 18. 12. 2020:

avsvmcloud[.]com

deftsecurity[.]com

digitalcollege[.]org

freescanonline[.]com

globalnetworkissues[.]com

kubecloud[.]com

lcomputers[.]com

seobundlekit[.]com

solartrackingsystem[.]net

thedoccloud[.]com

virtualwebdata[.]com

webcodez[.]com

13.59.205[.]66

54.193.127[.]66

65.153.203[.]68

3.87.182[.]149

3.16.81[.]254

12.227.230[.]4

54.215.192[.]52

8.18.144[.]11

8.18.144[.]12

8.18.144[.]9

8.18.144[.]20

8.18.144[.]40

8.18.144[.]44

8.18.144[.]62

8.18.144[.]130

8.18.144[.]135

8.18.144[.]136

8.18.144[.]149

8.18.144[.]156

8.18.144[.]158

8.18.144[.]165

8.18.144[.]170

8.18.144[.]180

8.18.144[.]188

8.18.145[.]3

8.18.145[.]21

8.18.145[.]33

8.18.145[.]36

8.18.145[.]131

8.18.145[.]134

8.18.145[.]136

8.18.145[.]139

8.18.145[.]150

8.18.145[.]157

8.18.145[.]181

13.27.184[.]217

18.217.225[.]111

18.220.219[.]143

20.141.48[.]154

34.219.234[.]134

184.72.1[.]3

184.72.21[.]54

184.72.48[.]22

184.72.101[.]22

184.72.113[.]55

184.72.145[.]34

184.72.209[.]33

184.72.212[.]52

184.72.224[.]3

184.72.229[.]1

184.72.240[.]3

184.72.245[.]1

196.203.11[.]89