MOVEit - atak supply chain, który obnażył kruche zaufanie do narzędzi do transferu plików
Atak grupy Cl0p na MOVEit Transfer (maj 2023) - zero-day SQL injection CVE-2023-34362, ponad 2700 organizacji, 93 miliony osób poszkodowanych. Anatomia największego ataku supply chain w historii transferu plików.
Jest taki rodzaj oprogramowania, o którym nikt nie myśli, dopóki nie przestanie działać. Narzędzia do zarządzanego transferu plików - Managed File Transfer - należą właśnie do tej kategorii. Działają w tle. Przesyłają dane płacowe między firmą a dostawcą kadr. Przekazują raporty medyczne między szpitalem a ubezpieczycielem. Synchronizują dokumenty podatkowe między urzędem a obywatelem. Nikt nie pisze o nich artykułów. Nikt nie chwali się nimi na konferencjach.
A potem okazuje się, że jedna luka w jednym takim narzędziu wystarczy, żeby wykraść dane 93 milionów ludzi.
To historia MOVEit Transfer - oprogramowania firmy Progress Software, które w maju 2023 roku stało się wehikułem największego ataku supply chain dekady. Nie dlatego, że było źle napisane. Dlatego, że było wszędzie - i że grupa Cl0p od dwóch lat cierpliwie czekała na odpowiedni moment.
Narzędzie, którego nie znałeś, a które miało Twoje dane
MOVEit Transfer to komercyjne rozwiązanie do bezpiecznego przesyłania plików, stosowane przez tysiące organizacji na całym świecie. Instytucje rządowe USA, brytyjskie linie lotnicze, globalne firmy audytorskie, szpitale, uniwersytety, banki - wszystkie korzystały z MOVEit do przesyłania danych, które muszą dotrzeć bezpiecznie: listy płac, dane osobowe, dokumenty prawne, informacje medyczne.
Kluczowy problem polegał na tym, że wiele instancji MOVEit Transfer było dostępnych bezpośrednio z internetu. Interfejs webowy aplikacji, zaprojektowany do wygodnego zarządzania transferami, stał się jednocześnie powierzchnią ataku.
CVE-2023-34362 - SQL injection z oceną 9.8/10
Podatność, którą wykorzystała grupa Cl0p, to klasyczny SQL injection w warstwie webowej MOVEit Transfer. Brzmi banalnie - i właśnie to jest przerażające. W 2023 roku, po dekadach edukacji o bezpieczeństwie aplikacji webowych, krytyczne oprogramowanie korporacyjne okazało się podatne na jeden z najstarszych typów ataków w historii cyberbezpieczeństwa.
CVE-2023-34362 pozwalała niezuwierzytelnionemu atakującemu na zdalne wykonanie zapytań SQL do bazy danych MOVEit Transfer. W praktyce oznaczało to pełen dostęp do zawartości bazy - w tym do przesyłanych plików i metadanych użytkowników. Ocena CVSS: 9.8 na 10. Podatne były wszystkie wersje MOVEit Transfer wydane przed 31 maja 2023 roku.
Ale sam SQL injection to dopiero początek łańcucha ataku. Cl0p wykorzystywał podatność do modyfikacji bazy danych w taki sposób, by MOVEit zaufał zewnętrznemu dostawcy tożsamości kontrolowanemu przez atakujących. Następnie wstrzykiwał token uwierzytelniający dla wbudowanego konta administratora (sysadmin), uzyskując pełną kontrolę nad instancją. Ostatnim krokiem było wdrożenie web shella o nazwie LEMURLOOT - napisanego w C#, zaprojektowanego specjalnie pod platformę MOVEit Transfer, uwierzytelniającego połączenia przychodzące za pomocą zakodowanego na stałe identyfikatora GUID.
LEMURLOOT potrafił pobierać pliki z systemu MOVEit, wyciągać ustawienia Azure, pobierać szczegółowe rekordy i tworzyć lub usuwać konta użytkowników. Dane zwracał w formacie skompresowanym gzip.
TIP
SQL injection pozostaje jedną z najczęstszych podatności aplikacji webowych. OWASP klasyfikuje go w pierwszej trójce zagrożeń. Jeśli Twoja organizacja korzysta z aplikacji webowych dostępnych z internetu - zwłaszcza do przesyłania wrażliwych danych - regularne testy penetracyjne i przeglądy kodu to nie opcja, a konieczność.
Dwa lata cierpliwego planowania
Najbardziej niepokojącym aspektem ataku MOVEit nie jest sama podatność. To fakt, że Cl0p znał ją - i testował - od co najmniej dwóch lat.
Analiza forensyczna przeprowadzona przez firmę Kroll wykazała, że pierwsze ślady eksperymentowania z tą luką datowane są na lipiec 2021 roku. Polecenia wykonywane w tamtym okresie wskazują na ręczne testowanie - atakujący sprawdzali, co mogą osiągnąć, ale nie przystępowali do masowej eksfiltracji. W kwietniu 2022 roku pojawiły się kolejne próby - tym razem już z automatycznym pobieraniem danych z kompromitowanych serwerów MOVEit.
Przez dwa lata Cl0p prowadził rekonesans. Mapował ofiary. Budował infrastrukturę. A potem, 27 maja 2023 roku, nacisnął przycisk - i w ciągu kilku dni skompromitował tysiące organizacji na całym świecie.
To nie był oportunistyczny atak. To była zaplanowana operacja na skalę przemysłową.
27 maja 2023 - fala uderzeniowa
Masowa eksploatacja rozpoczęła się w sobotę 27 maja 2023 roku - weekend Memorial Day w Stanach Zjednoczonych, kiedy zespoły bezpieczeństwa wielu organizacji pracowały w okrojonym składzie.
28 maja klienci MOVEit zaczęli zgłaszać nietypową aktywność na swoich serwerach. 31 maja Progress Software opublikował ostrzeżenie i wydał łatki dla podatności. Ale dla wielu organizacji było już za późno - dane zostały wykradzione w ciągu pierwszych godzin kampanii.
5 czerwca Cl0p publicznie przyznał się do ataków na swoim blogu w sieci Tor, dając ofiarom ultimatum: skontaktujcie się z nami, albo wasze dane zostaną upublicznione.
Chronologia kryzysu
| Data | Wydarzenie |
|---|---|
| Lipiec 2021 | Pierwsze ślady testowania podatności MOVEit przez Cl0p (analiza Kroll) |
| Kwiecień 2022 | Próby automatycznej eksfiltracji danych z serwerów MOVEit |
| 27 maja 2023 | Początek masowej eksploatacji CVE-2023-34362 w weekend Memorial Day |
| 28 maja 2023 | Pierwsze zgłoszenia nietypowej aktywności od klientów MOVEit |
| 31 maja 2023 | Progress Software publikuje ostrzeżenie i wydaje łatki bezpieczeństwa |
| 2 czerwca 2023 | Microsoft przypisuje atak grupie Lace Tempest (powiązanej z Cl0p) |
| 5 czerwca 2023 | Cl0p publicznie przyznaje się do ataków; ujawnieni pierwsi poszkodowani: BBC, British Airways, Boots, Aer Lingus (przez dostawcę kadr Zellis) |
| 12 czerwca 2023 | Ernst & Young, Transport for London i Ofcom potwierdzają naruszenia |
| 15 czerwca 2023 | Departament Energii USA wśród poszkodowanych agencji rządowych |
| 16 czerwca 2023 | Miliony mieszkańców Luizjany i Oregonu dotknięte przez wycieki z urzędów motoryzacyjnych |
| 9 czerwca 2023 | Progress Software wydaje łatkę na drugą podatność SQL injection (CVE-2023-35036) |
Skala - liczby, które zmieniają perspektywę
Według analizy firmy Emsisoft, do końca 2023 roku atak MOVEit dotknął ponad 2700 organizacji i naruszył dane osobowe około 93,3 miliona ludzi.
78,9% znanych ofiar to organizacje z siedzibą w Stanach Zjednoczonych. 13,5% w Kanadzie. 1,3% w Niemczech. 0,7% w Wielkiej Brytanii. Agencja CISA oszacowała, że poszkodowanych zostało ponad 3000 podmiotów w samych USA i 8000 na całym świecie.
Najbardziej dotknięte sektory to edukacja (39,1%), ochrona zdrowia (20,1%) oraz finanse i usługi profesjonalne (13,3%).
Lista poszkodowanych czyta się jak katalog Who’s Who globalnej gospodarki: BBC, British Airways, Shell, Ernst & Young, Deutsche Bank, Johns Hopkins University, Departament Energii USA, Departament Zdrowia USA, Sony, sieci szpitali zarządzane przez Nuance (Microsoft) - i setki innych.
TIP
Atak na MOVEit to klasyczny przykład ryzyka supply chain - organizacje, które nigdy nie słyszały o MOVEit Transfer, zostały poszkodowane, ponieważ ich dostawcy (Zellis, PBI Research Services, National Student Clearinghouse) korzystali z tego narzędzia do przesyłania danych. Zarządzanie ryzykiem dostawców to nie biurokracja - to linia obrony.
Cl0p - ransomware bez szyfrowania
Grupa Cl0p (znana także jako TA505) działa od co najmniej 2019 roku i jest jedną z najaktywniejszych grup cyberprzestępczych na świecie. Atak na MOVEit ujawnił ewolucję jej modelu operacyjnego.
W przypadku MOVEit Cl0p nie wdrażał ransomware w tradycyjnym sensie - nie szyfrował systemów ofiar. Zamiast tego postawił wyłącznie na kradzież danych i szantaż: zapłaćcie, albo opublikujemy to, co wykradliśmy. To świadoma zmiana taktyki. Szyfrowanie jest głośne - uruchamia alarmy, mobilizuje zespoły reagowania. Cicha eksfiltracja danych przez zaufane narzędzie do transferu plików? To może trwać godzinami, zanim ktokolwiek zauważy.
Cl0p twierdzył, że dane wykradzione od instytucji rządowych zostały usunięte. Analitycy bezpieczeństwa potraktowali to oświadczenie ze zrozumiałym sceptycyzmem - i słusznie, bo późniejsze ustalenia wskazywały, że część tych danych trafiła do dalszego obrotu.
Atak na MOVEit nie był pierwszą operacją Cl0p na narzędziach MFT. Wcześniej grupa eksploatowała podatności w Accellion FTA (2020-2021) i Fortra GoAnywhere MFT (styczeń 2023). MOVEit był trzecim ogniwem tego samego łańcucha - systematycznego atakowania narzędzi do transferu plików jako wektora supply chain.
Lekcje dla organizacji
1. Narzędzia w tle to nie narzędzia o niskim ryzyku
MOVEit Transfer nie był flagowym produktem w portfoliach IT poszkodowanych organizacji. Był “tym narzędziem do przesyłania plików, które po prostu działa”. Właśnie taki software - niewidoczny, ale krytyczny, z dostępem do najwrażliwszych danych - stanowi idealne pole ataku. Inwentaryzacja aplikacji z dostępem do internetu i danych wrażliwych to fundament bezpieczeństwa.
2. Zarządzanie podatnościami to wyścig z czasem
Cl0p rozpoczął masową eksploatację w weekend, gdy wiele zespołów bezpieczeństwa nie pracowało. Łatki pojawiły się cztery dni po rozpoczęciu ataków. W tym oknie - czterech dni - skompromitowano tysiące organizacji. Programy zarządzania podatnościami muszą uwzględniać scenariusze zero-day z czasem reakcji liczonym w godzinach, nie dniach.
3. Supply chain to mnożnik skali
Jedna luka w jednym produkcie - 2700 organizacji, 93 miliony ludzi. To jest efekt mnożnikowy ataku supply chain. Każda organizacja, która przekazuje wrażliwe dane dostawcy zewnętrznemu, powinna zadać sobie pytanie: jakim narzędziem ten dostawca przesyła nasze dane? I czy to narzędzie jest aktualne?
Więcej o mechanizmach ataków ransomware i metodach ochrony opisujemy w naszym przewodniku po ransomware.
Podsumowanie
Atak na MOVEit Transfer zmienił sposób, w jaki branża cyberbezpieczeństwa myśli o ryzyku supply chain. Pokazał, że:
- zero-day w narzędziu do transferu plików może mieć skutki porównywalne z atakiem na infrastrukturę krytyczną - nie pod względem fizycznych zniszczeń, ale skali wycieku danych,
- grupy ransomware ewoluują - Cl0p odszedł od szyfrowania na rzecz cichej eksfiltracji i szantażu, co utrudnia wykrycie ataku,
- dwuletnie przygotowanie i rekonesans przed masową eksploatacją to nowy standard operacyjny zaawansowanych grup cyberprzestępczych,
- narzędzia MFT, VPN, bramki pocztowe i inne “invisible middleware” to krytyczny, a często zaniedbany element powierzchni ataku.
Dla każdej organizacji przetwarzającej dane osobowe - a w praktyce dotyczy to wszystkich - atak MOVEit jest przypomnieniem, że bezpieczeństwo łańcucha dostaw nie kończy się na audycie dostawcy. Zaczyna się od pytania: jakie oprogramowanie stoi między naszymi danymi a światem zewnętrznym?
Źródła
- 2023 MOVEit data breach - Wikipedia
- Unpacking the MOVEit Breach: Statistics and Analysis - Emsisoft
- #StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability - CISA
- Zero-Day Vulnerability in MOVEit Transfer Exploited for Data Theft - Mandiant/Google Cloud
- Threat Brief: MOVEit Transfer SQL Injection Vulnerabilities - Unit 42/Palo Alto Networks
- CVE-2023-34362: MOVEit Vulnerability Timeline of Events - Rapid7
- MOVEit Transfer CVE-2023-34362 Deep Dive - Horizon3.ai
- Cl0p Ups the Ante with Massive MOVEit Transfer Supply-Chain Exploit - Resecurity
- MOVEit supply chain bug exploited for two years - ReversingLabs