La scorsa settimana si è diffusa la notizia che un sofisticato avversario è penetrato nella rete di FireEye e ha rubato gli strumenti di valutazione del Red Team dell'azienda.L'attacco sarebbe collegato a un più ampioassalto alla catena di approvvigionamentoche ha colpito organizzazioni governative, di consulenza, tecnologiche e di telecomunicazioni in Nord America, Europa, Asia e Medio Oriente.
Per avere un'idea di ciò che questo set di strumenti rubati è in grado di fare, si può guardare l'elencoelenco prioritario di CVE che FireEye raccomanda alle organizzazioni di affrontare immediatamente-in sostanza, l'elenco delle vulnerabilità note di cui FireEye (e ora qualsiasi avversario con i suoi strumenti) può facilmente approfittare. In base all'elenco, sono a rischio tutti i sistemi, da Citrix a Terminal Services, da Microsoft Exchange agli endpoint Windows e a Microsoft Outlook. Particolarmente allarmante, in cimaall'elenco delle priorità , è una vulnerabilità di NETLOGON che provoca un'escalation dei privilegi di Microsoft Active Directory, consentendo all'aggressore l'accesso come amministratore di dominio. Se un aggressore dovesse utilizzare questa particolare vulnerabilità, data la natura di Active Directory, i privilegi acquisiti potrebbero facilitare l'accesso a qualsiasi cosa nella rete.
Secondo quanto riferito, l'avversario ha compromesso FireEye, oltre ad altri obiettivi come il Tesoro degli Stati Uniti e il Dipartimento del Commercio, con "troianizzato" per SolarWinds, un fornitore di tecnologia che aiuta il governo federale e le aziende Fortune 500 a monitorare la salute delle loro reti IT. Gli aggiornamenti hanno distribuito un malware che FireEye ha battezzato SUNBURST. Quest'ultimo attacco alla catena di approvvigionamento ha scosso la comunità IT, e a ragione, considerando l'ampia base di clienti di SolarWinds.Nei documenti SEC depositati il 14 dicembre,SolarWinds ha dichiaratoche 18.000 clientihanno installato l'aggiornamento infetto da malware.La vicenda è ancora in corso e l'entità del danno rimane sconosciuta.
In un'intervista adAl Jazeerala stessa mattina, Richard Stiennon, Chief Research Analyst di IT-Harvest, ha paragonato l'attacco alla catena di approvvigionamento a NotPetya, che si è diffuso in modo simile camuffandosi da aggiornamento software legittimo.NotPetya è senza dubbio il cyberattacco più distruttivo mai avvenuto fino a oggi, con danni complessivi di10 miliardi di dollari di danni totalinel 2017, secondo i funzionari della Casa Bianca. Come molte altre aziende di alto profilo colpite da NotPetya, la più grande compagnia di navigazione del mondo, Maersk,ha trascorso più di una settimanaa recuperare manualmente la propria Active Directory.
Active Directory è nel mirino degli attaccanti
Innanzitutto, il settore concorda sul fatto che FireEye ha risposto molto bene all'incidente, essendo estremamente trasparente riguardo al furto degli strumenti Red Team.strumenti del Red Teamche contengono script personalizzati, alcuni strumenti di hacking disponibili pubblicamente e alcuni set di strumenti sviluppati su misura.
Secondo FireEye, non ci sono exploit zero-day all'interno degli strumenti, quindi ogni CVE menzionato ha patch disponibili. Ma questo non garantisce che tutti i sistemi, le applicazioni e le piattaforme interessate dall'elenco siano aggiornati. Prendete nota dell'elenco e assicuratevi che il vostro ambiente sia aggiornato.
Ci sono alcune lezioni da imparare in modo proattivo da questa storia:
1. I cyberattacchi sfruttano sempre più spesso le debolezze della catena di approvvigionamento come metodo efficace per distribuire le minacce informatiche e ottenere un impatto diffuso.
2. I cattivi stanno andando oltre le campagne di violazione "spray and pray" e iniziano a essere estremamente mirati, attaccando i buoni e sfruttando qualsiasi proprietà intellettuale (in questo caso, gli strumenti di hacking interni) per avere la meglio.
3. Se un'organizzazione come FireEye, che si occupa esclusivamente di sicurezza informatica, non è completamente al sicuro dagli attacchi, non lo è nemmeno la tua organizzazione.
4. Sofisticati set di strumenti automatizzati possono facilmente arrivare nelle mani di un attaccante alle prime armi, rendendolo un avversario altrettanto pericoloso di una persona con anni di esperienza nel Red Team.
5. Windows e Active Directory sono obiettivi chiave dei moderni attacchi informatici. La natura centralizzata dell'accesso reso disponibile agli account utente con privilegi elevati rende Active Directory il bersaglio perfetto per i cyberattacchi. Pertanto, le organizzazioni devono tenere sotto controllo le modifiche apportate ad Active Directory, adottando anche misure per monitorare costantemente gli indicatori di esposizione, impedire modifiche che potrebbero elevare ulteriormente l'accesso ad altre parti dell'ambiente ed essere pronte a riprendersi da ransomware e altri attacchi all'integrità dei dati.
Sebbene l'attacco di FireEye non rappresenti il rilascio di strumenti o exploit mai visti prima, sottolinea l'importanza di mantenere il vostro ambiente patchato contro le vulnerabilità note e il ruolo critico che Active Directory svolge negli attacchi informatici odierni.In quanto gatekeeper di applicazioni e dati critici, Active Directory è diventata un obiettivo primario per gli attacchi diffusi che hanno paralizzato le aziende negli ultimi anni.Capendo su cosa si concentrano i malintenzionati, dovreste cercare di modificare la vostra strategia di sicurezza per costruire la vostra protezione attorno a quelle parti dell'ambiente che sono preziose per gli aggressori.
Data l'entità dell'attacco alla catena di approvvigionamento di SolarWinds e le successive violazioni di agenzie governative e aziende di alto profilo, è probabile che nei giorni a venire altre vittime facciano dichiarazioni.Se avete domande sulla protezione di Active Directory contro l'elenco di vulnerabilità pubblicato da FireEye o contro gli attacchi in corso, non esitate acontattarei tecnici di Semperis.