Объяснение: массовая кибератака в США с использованием нового набора инструментов.

«Взлом SolarWinds», одна из крупнейших кибератак, направленных на правительственные учреждения США и частные компании, рассматривается как вероятная глобальная попытка. Как это было выполнено и какие данные были скомпрометированы? Почему официальные лица и политики США назвали Россию?

Целью кибератаки была программа Orion, поставляемая компанией SolarWinds. (Фото Рейтер)

«Взлом SolarWinds», кибератака, недавно обнаруженная в Соединенных Штатах, стала одной из самый большой когда-либо направлена ​​против правительства США, его агентств и ряда других частных компаний. Фактически, это, скорее всего, глобальная кибератака.

Впервые он был обнаружен американской компанией по кибербезопасности FireEye, и с тех пор каждый день появляются новые разработки. Масштабы кибератаки остаются неизвестными, хотя считается, что пострадали Казначейство США, Министерство внутренней безопасности, Министерство торговли и части Пентагона.

В часть мнения написано для Нью-Йорк Таймс Томас П. Боссерт, который был советником президента Дональда Трампа по национальной безопасности, назвал Россию виновницей нападения. Он написал доказательства в пунктах атаки SolarWinds на российское разведывательное агентство, известное как СВР, чья торговая деятельность является одной из самых передовых в мире. Кремль отрицает свою причастность.

Итак, что это за «взлом SolarWinds»?

Технически новость о кибератаке впервые появилась 8 декабря, когда FireEye выпустила блог, в котором обнаружила атаку на свои системы. Фирма помогает в управлении безопасностью нескольких крупных частных компаний и федеральных правительственных агентств.

Генеральный директор FireEye Кевин Мандиа написал в своем блоге, что компания подверглась нападению со стороны очень изощренного злоумышленника, назвав это атакой, спонсируемой государством, хотя он не назвал Россию. В нем говорилось, что атака была проведена страной с высочайшими наступательными возможностями, и злоумышленник в первую очередь искал информацию, касающуюся определенных государственных заказчиков. В нем также говорится, что злоумышленники использовали новые методы.

Затем, 13 декабря FireEye заявила, что кибератака, которую она назвала Campaign UNC2452, была направлена ​​не на компанию, а на различные государственные и частные организации по всему миру. Кампания, вероятно, началась в марте 2020 года и продолжается уже несколько месяцев, говорится в сообщении. Хуже того, объем украденных или скомпрометированных данных все еще неизвестен, учитывая, что масштаб атаки все еще выясняется. После взлома систем произошло боковое перемещение и кража данных.

Как было атаковано так много правительственных агентств и компаний США?

Это называется атакой на «цепочку поставок»: вместо того, чтобы напрямую атаковать федеральное правительство или сеть частной организации, хакеры нацелены на стороннего поставщика, который поставляет им программное обеспечение. В данном случае целью было программное обеспечение для управления ИТ под названием Orion, поставляемое базирующейся в Техасе компанией SolarWinds.

Orion является доминирующим программным обеспечением от SolarWinds, у которого есть клиенты, в число которых входят более 33 000 компаний. SolarWinds сообщает, что это затронуло 18 000 ее клиентов. Кстати, компания удалила список клиентов со своих официальных сайтов.

Согласно странице, которая также была удалена из веб-архивов Google, в список входят 425 компаний из списка Fortune 500, 10 крупнейших операторов связи в США. В сообщении New York Times говорится, что пострадали части Пентагона, Центры по контролю и профилактике заболеваний, Государственный департамент, Министерство юстиции и другие.

Microsoft подтвердила, что обнаружила доказательства наличия вредоносного ПО в их системах, но добавила, что не было доказательств доступа к производственным службам или данным клиентов или того, что ее системы использовались для атак на других. Президент Microsoft Брэд Смит сказал, что компания начала уведомлять более 40 клиентов о том, что злоумышленники более точно нацелены и скомпрометированы.

В сообщении Reuters говорится, что хакеры контролировали даже электронные письма, отправленные сотрудниками Министерства внутренней безопасности.

Как они получили доступ?

По данным FireEye, хакеры получили доступ к жертвам с помощью троянских обновлений программного обеспечения для мониторинга и управления информационными технологиями Orion компании SolarWinds. По сути, обновление программного обеспечения было использовано для установки вредоносного ПО Sunburst в Orion, которое затем было установлено более чем 17 000 клиентов.

FireEye утверждает, что злоумышленники использовали несколько методов, чтобы не быть обнаруженными и скрыть свою деятельность. Вредоносная программа могла получить доступ к системным файлам. По словам FireEye, вредоносная программа работала в пользу того, что она могла сливаться с законной деятельностью SolarWinds.

После установки вредоносная программа предоставила хакерам бэкдор для доступа к системам и сетям клиентов SolarWinds. Что еще более важно, вредоносная программа также могла препятствовать работе таких инструментов, как антивирус, которые могли ее обнаружить.

При чем здесь Россия?

В своей статье «Нью-Йорк Таймс» Боссерт назвал Россию и ее агентство SVR, которое способно провести атаку такой изобретательности и масштаба.

Microsoft отмечает в своем блоге, что этот аспект атаки создал уязвимость цепочки поставок почти глобального значения, затронувшую многие крупные национальные столицы за пределами России. Далее добавляется, что изощренные атаки из России стали обычным явлением.

FireEye, однако, еще не назвала Россию виновной и заявила, что расследование продолжается с ФБР, Microsoft и другими ключевыми партнерами, имена которых не называются.

Что SolarWinds и правительство США сказали о взломе?

Прямо сейчас SolarWinds рекомендует всем клиентам немедленно обновить существующую платформу Orion, на которой есть исправление для этого вредоносного ПО. Если в среде обнаруживается активность злоумышленника, мы рекомендуем провести всестороннее расследование, а также разработать и реализовать стратегию исправления, основанную на результатах расследования и деталях затронутой среды, говорится в сообщении.

Тем, кто не может выполнить обновление, предлагается изолировать серверы SolarWinds, и это должно включать блокировку всего выхода в Интернет с серверов SolarWinds. Минимальное предложение - это изменение паролей для учетных записей, имеющих доступ к серверам / инфраструктуре SolarWinds.

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) издало Директиву о чрезвычайных ситуациях 21-01, в которой содержится просьба ко всем федеральным гражданским агентствам проверить свои сети на предмет наличия признаков взлома. Он попросил их немедленно отключить или отключить продукты SolarWinds Orion.

ФБР, CISA и офис директора национальной разведки выступили с совместным заявлением и объявили о так называемой «Cyber ​​Unified Coordination Group» (UCG) для координации действий правительства в ответ на кризис. В заявлении это называется важной и продолжающейся кампанией по кибербезопасности.

Белый дом и президент Дональд Трамп хранят молчание. Сенатор Митт Ромни лучше всего резюмировал это в своих комментариях журналисту Оливье Ноксу из радио SiriusXM, где он сравнил эту атаку с эквивалентом российских бомбардировщиков, летящих незамеченными по всей стране, демонстрируя слабость США в кибервойне. Он сказал, что молчание и бездействие Белого дома непростительно.

Сенатор Ричард Блюменталь, демократ, написал в Твиттере: «Кибератака России вызвала у меня глубокую тревогу, а на самом деле - откровенный страх.

Избранный президент Джо Байден заявил в своем заявлении: «Хорошей защиты недостаточно; Нам, прежде всего, необходимо помешать нашим противникам предпринять серьезные кибератаки и удержать их от них.

ПОДЕЛИТЕСЬ С ДРУЗЬЯМИ: