しかし、彼らが探していた通路を見つけたのはわずか 24 時間のことでした。それは、不正なトラフィックの原因であると思われる単一のファイルです。 Carmakal は、それが見つかったのは 12 月 11 日だったと考えています。
ファイルは .dll、つまりダイナミック リンク ライブラリ (他のプログラムによって共有されるコード コンポーネント) でした。 この .dll は大きく、4,000 以上の正当なアクションを実行する約 46,000 行のコードが含まれていました。
.dll の主な仕事は、SolarWinds に顧客の Orion の使用状況を伝えることでした。 しかし、ハッカーは被害者のネットワークに関するインテリジェンスを送信する悪意のあるコードを埋め込んでいました。 彼らの 代わりにコマンド サーバー。 Ballenthin は不正なコードを「Sunburst」と名付けました。 彼らはその発見に大喜びしました。 しかし今度は、侵入者がそれを Orion .dll に忍び込ませた方法を突き止めなければなりませんでした。
これは些細なことではありませんでした。 Orion .dll ファイルは、SolarWinds デジタル証明書で署名されています。 想定 ファイルが正当な企業コードであることを確認します。 可能性の 1 つは、攻撃者がデジタル証明書を盗み、破損したバージョンの Orion ファイルを作成し、ファイルに署名して本物に見えるようにし、破損した .dll を Mandiant のサーバーにインストールしたことです。 または、さらに驚くべきことに、彼らは SolarWinds のネットワークに侵入し、正規の Orion .dll ソース コードを改ざんした可能性があります。 前 SolarWinds はそれをコンパイルし (コードをソフトウェアに変換)、署名しました。 2 番目のシナリオは、調査員が SolarWinds の Web サイトから Orion のソフトウェア アップデートをダウンロードするまで、Mandiant の乗組員が実際には考慮していなかったほど、あまりにも突飛に思えました。 その中に裏口がありました。
その意味は驚くべきものでした。 Orion ソフトウェア スイートには約 33,000 の顧客がおり、その一部は 3 月にハッキングされたソフトウェア アップデートの受信を開始しました。 つまり、一部の顧客はすでに 8 か月間侵害されている可能性があります。 Mandiant のチームは、ソフトウェア サプライ チェーン攻撃の教科書的な例に直面していました。これは、信頼されたソフトウェアのソースでの悪質な改ざんです。 攻撃者は、一撃で数千、場合によっては数百万のマシンに感染する可能性があります。
2017 年、ハッカーはソフトウェア サプライ チェーンを妨害し、コンピューター セキュリティ クリーンアップ ツール CCleaner を侵害して 200 万人以上のユーザーにマルウェアを配信しました。 同年、ロシアは悪意のある NotPetya ワームをソフトウェア アップデートとして配布し、ウクライナの TurboTax に相当するものを世界中に広めました。 その後まもなく、中国のハッカーもソフトウェア アップデートを使用してバックドアを何千もの Asusのお客様. 調査の初期段階でさえ、Mandiant チームは、SolarWinds キャンペーンに匹敵する他の攻撃はないと判断できました。
SolarWindsがチェイスに参加
そうでした 12 月 12 日土曜日の朝、Mandia が SolarWinds の社長兼 CEO に携帯電話で電話をかけたとき。 テキサスの会社で 14 年のベテランであるケビン・トンプソンは、月末に CEO を辞任することになった。 オリオンが感染したというマンディアから彼が聞こうとしていたことは、彼の在職期間を締めくくる途方もない方法でした。 「これを 24 時間以内に公開します」と Mandia 氏は述べています。 彼は、SolarWinds に最初に発表を行う機会を与えると約束しましたが、タイムラインは交渉の余地がありませんでした。 マンディア氏が言及しなかったのは、彼自身が外部からの圧力にさらされていたということです。ある記者がバックドアについて情報を得て、彼の会社に連絡して確認したのです。 マンディアは、この話が日曜の夜に明らかになるだろうと予想しており、彼はそれを先取りしたいと考えていました。
トンプソンは、SolarWinds のセキュリティ アーキテクチャ責任者であるティム ブラウンに最初に電話をかけ始めました。 Brown 氏と彼のスタッフはすぐに、Orion のソフトウェア アップデートに Sunburst バックドアが存在することを確認し、2020 年春以降、18,000 もの顧客にそれが配信されたことを警戒して突き止めました (すべての Orion ユーザーがダウンロードしたわけではありません)。トンプソンと他の人々は、土曜日のほとんどを必死にチームをまとめて、彼らが直面した技術的、法律的、宣伝上の課題を監督しました。 彼らはまた、同社の社外弁護士である DLA Piper に電話をかけて、侵害の調査を監督しました。 パイパーの弁護士で法医学の専門知識を持つ元検察官であるロン・プレスコは、午後10時頃に電話を受けたとき、友人と一緒に裏庭にいました。