Thông tin này đã được tiết lộ bởi các chuyên gia bảo mật thuộc Nhóm nghiên cứu Microsoft 365 Defender, Trung tâm Tình báo về các mối đe dọa của Microsoft (MSTIC) và Trung tâm Điều hành phòng thủ trên không gian mạng của Microsoft (CDOC).

Báo cáo đã xuất bản vào ngày 20/01/2020 đã chia sẻ các chi tiết mới liên quan đến việc chuyển giao trong chiến dịch Solorigate từ mẫu DLL backdoor sang Cobalt Strike loader. Tin tặc sử dụng kỹ thuật ghi lại bàn phím trên các thiết bị đầu cuối bị xâm phạm bằng cách sử dụng một trong số các trình tải Cobalt Strike tùy chỉnh, bao gồm trình tải được đặt tên là TEARDROP của FireEye và một biến thể có tên Raindrop của Symantec. Kết quả cho thấy những kẻ tấn công đã cố gắng tách biệt các thành phần này càng xa càng tốt để tránh bị phát hiện.

Chiến thuật lẩn tránh của tin tặc SolarWinds

Theo chuyên gia bảo mật của Microsoft, các tin tặc dàn dựng cuộc tấn công SolarWinds đã sử dụng một loạt các chiến thuật và bảo mật hoạt động nhằm giảm đáng kể khả năng phát hiện hành động độc hại của các tổ chức vi phạm.

Theo Microsoft cho biết thì những kẻ đứng đằng sau cuộc tấn công là những người điều hành khéo léo và tuân theo các phương pháp nghiêm ngặt về bảo mật hoạt động (OpSec) để giảm thiểu dấu vết, tránh nằm trong tầm ngắm và tránh bị phát hiện.

Trong quá trình phân tích chuyên sâu về chiến thuật, kỹ thuật và quy trình của kẻ tấn công thông qua Microsoft 365 Defender. Microsoft sẽ tiết lộ một số kỹ thuật để giúp những chuyên gia bảo mật của các công ty phản ứng tốt hơn với sự cố này và sử dụng các công cụ của Microsoft 365 Defender hoặc truy vấn Azure Sentinel để tìm kiếm dấu vết khả nghi của các hoạt động trong quá khứ.

Một số ví dụ về chiến thuật lẩn tránh mà tin tặc SolarWinds đã sử dụng:

- Tránh các chỉ lệnh được chia sẻ một cách có phương pháp cho mỗi máy chủ bị xâm phạm bằng cách chuẩn bị Cobalt Strike riêng biệt cho từng máy, tránh sự trùng lặp và tái sử dụng tên thư mục, tên file, tên hàm, C2 domain/IP,... Chiến thuật này cũng được áp dụng với các đối tượng không thực thi như WMI persistense filter name, WMI filter query, mật khẩu cho những file nén 7-zip và tên của các output log files.

- Ngụy trang và xâm nhập bằng cách đổi tên và đặt vào trong các thư mục các công cụ và file binary nhằm giả mạo các chương trình và file sẵn có trên máy chủ.

- Vô hiệu hóa tính năng ghi nhật ký sự kiện bằng AUDITPOL trước khi thực hiện ghi lại nhật ký bàn phím và kích hoạt lại sau đó.

- Trước khi thực hiện các hoạt động network enumeration, những kẻ tấn công chuẩn bị sẵn các firewall rule đặc biệt để giảm thiếu các gói tin đi ra ngoài cho các giao thức nhất định. Các rule này sẽ được xóa bỏ sau khi quá trình dò quét và thu thập thông tin được hoàn thành.

- Cẩn thận lên kế hoạch cho các hoạt động di chuyển trong mạng của các công ty bằng cách kiếm tra các tiến trình và dịch vụ đang chạy trên một máy chủ xác định và chỉ kết nối đến máy chủ đó sau khi đã tắt các dịch vụ bảo vệ.

- Cũng được cho là đã sử dụng kỹ thuật timestomping để thay đổi dấu thời gian của các mẫu và các file, sử dụng các quy trình và công cụ xóa bỏ chuyên nghiệp để ngăn cản việc tìm kiếm và khôi phục các file DLL độc hại đã được cài đặt.

Ngoài ra, Microsoft cung cấp một danh sách các chiến thuật, kỹ thuật và thủ tục đáng ngờ và bất thường nhất được sử dụng trong các cuộc tấn công này.

Công ty cũng cho biết họ đang tích cực làm việc với MITRE (Tổ chức công nghệ phi lợi nhuận) để đảm bảo rằng bất kỳ kỹ thuật mới nào xuất hiện từ sự cố này đều được ghi lại trong các bản cập nhật trong tương lai của ATT&CK (danh sách các hành vi của tin tặc khi tấn công một hệ thống nào đó, giúp các tổ chức nhận diện, khắc phục, giảm thiểu các nguy cơ bị tấn công trên không gian mạng).

Tiến trình tấn công chuỗi cung ứng

Quá trình chi tiết của các cuộc tấn công này cho thấy Solorigate DLL backdoor đã được triển khai vào tháng 2/2020 và được thiết lập trong các mạng bị xâm nhập vào cuối tháng 3/2020.

Sau giai đoạn này, vào đầu tháng 5/2020 là thời điểm các cuộc tấn công bắt đầu, kẻ đe dọa chuẩn bị cài đặt Cobalt Strike tùy chỉnh vào các mục tiêu được chọn.

Microsoft cho biết thêm, việc loại bỏ chức năng tạo backdoor và mã bị xâm nhập khỏi hệ thống nhị phân SolarWinds vào tháng 6/2020 có thể cho thấy rằng, vào thời điểm này, những kẻ tấn công đã đạt đủ số lượng mục tiêu cần thiết và mục tiêu của chúng chuyển từ triển khai sang kích hoạt backdoor (Giai đoạn 1) để hoạt động trên các mạng của các nạn nhân được chọn. Tiếp tục cuộc tấn công bằng hoạt động mô phỏng bàn phím bằng cách sử dụng cài đặt Cobalt Strike (Giai đoạn 2).

Quy trình của cuộc tấn công Solorigate

Microsoft cũng đã phát hiện ra những chi tiết mới trong quá trình điều tra về cuộc tấn công chuỗi cung ứng SolarWinds được dàn dựng bởi các tác nhân đe dọa đang được theo dõi như StellarParticle (CrowdStrike), UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), và Dark Halo (Volexity).

Mặc dù danh tính của tin tặc vẫn chưa được xác định, nhưng một tuyên bố chung do FBI, CISA, ODNI và NSA đưa ra hồi đầu tháng 01/2021 này cho biết có khả năng đó là một nhóm Advanced Persistent Threat (APT) do Nga hậu thuẫn.

Kaspersky cũng phát hiện ra mối liên hệ giữa tin tặc SolarWinds và nhóm tin tặc có tên Turla của Nga sau khi tìm ra ra rằng Sunburst backdoor của SolarWinds có tính năng trùng lặp với Kazuar backdoor của Turla.