Что нужно знать о взломе SolarWinds

21 декабря 2020 г. 11:17
 1215

Хакеры проникли в федеральные органы США, в том числе в органы национальной безопасности и учреждения, отвечающие за ядерные программы.

Хакеры проникли в федеральные органы США, в том числе в органы национальной безопасности и учреждения, отвечающие за ядерные программы. Майкрософт и другие крупные компании тоже в числе жертв и обвиняют во взломе Россию.

Атакующим удалось скомпрометировать программное обеспечение по кибербезопасности, о котором вы, возможно, не слышали. Проникновение привело к массовой кампании по распространению вредоносного ПО, которая в настоящее время затронула федеральные агентства США, а также правительства по всему миру, согласно отчетам жертв взлома, аналитиков киберугроз и сообщениям в новостях.

Взломанная компания SolarWinds продает программное обеспечение, позволяющее организации видеть, что происходит в ее компьютерных сетях. Хакеры внедрили вредоносный код в обновление программного обеспечения под названием «Orion» и около 18 000 клиентов SolarWinds установили взломанные обновления в свои системы.

Взломанные обновления распространились крайне широко и уже нанесли огромный ущерб, масштабы которого растут по мере появления новой информации. Во множестве заявлений новостных агентств, пресс-релизах затронутых атакой компаний и аналитических отчетах разнообразных ИБ-аналитиков, во взломе обвинили «российскую разведку», которая, как сообщается, провела множественную изощренную кибератаку и нанесла удар по нескольким американским федеральным агентствам и частным компаниям, включая Microsoft.

В субботу президент Дональд Трамп выложил в Twitter пост о том, что за этой атакой может стоять Китай. Трамп, который не предоставил доказательств в поддержку предположения о причастности Китая, отметил в твитте госсекретаря Майка Помпео, который ранее заявил в радиоинтервью, что «мы можем довольно уверенно сказать, что именно русские участвовали в этой атаке».

Агентства национальной безопасности США выступили в среду с совместным заявлением, признав существование «масштабной и все еще продолжающейся хакерской кампании», которая затронула и правительственные службы США. Пока неясно, сколько агентств пострадало или какую информацию хакеры могли украсть, но по всем признакам вредоносная программа является чрезвычайно мощной. Согласно анализу, проведенному Microsoft и службой безопасности FireEye, которые сами также были заражены вредоносным ПО, оно дает хакерам широкий доступ к пораженным системам.

В четверг издание Politico сообщило, что системы Министерства энергетики и Национальной администрации по ядерной безопасности также были заражены. В четверг компания Microsoft сообщила, что выявила более 40 клиентов, которые стали объектом взлома.

Вот что нужно знать о взломе SolarWinds на текущий момент:

Как хакеры внедрили вредоносные программы в обновление программного обеспечения?

«Хакеры смогли получить доступ к системе, которую SolarWinds использует для компоновки обновлений своего продукта Orion, и с ее помощью внедрили вредоносный код в обновления программного обеспечения», – объяснили разработчики в докладе, поданном в Комиссию по ценным бумагам и биржам США. Такой тип атаки известен как атака «supply-chain», так как она заражает программное обеспечение во время его сборки.

Провернуть атаку цепочки поставок - крупное достижение для любых хакеров, так как она позволяет запаковать свои вредоносные программы в доверенное программное обеспечение. Вместо того, чтобы взламывать отдельные компании с помощью фишинга или другими методами, хакеры могут получить доступ к системам сразу всех пользователей легитимной платформы, которые установят зараженное обновление SolarWinds.

Этот подход особенно эффективен в данном случае, потому что сотни тысяч компаний и государственных учреждений по всему миру, как сообщается, используют программное обеспечение «Orion». С выпуском испорченного обновления программного обеспечения, обширный список клиентов SolarWinds стал потенциальной целью для взлома.

Какие правительственные учреждения подверглись атаке?

По сообщениям Reuters, The Washington Post и The Wall Street Journal, вредоносная кампания поразила Министерство национальной безопасности, Министерство торговли и Министерство финансов США, а также Национальные институты здравоохранения. В четверг Politico сообщило, что ядерные программы Министерства энергетики США и Национального управления по ядерной безопасности также являются мишенью для вредоносных программ.

Какая информация была украдена у федеральных агентств, пока не сообщается, но объемы полученного доступа, вероятно, широчайшие.

Хотя Министерство энергетики и Министерство торговли признали факт взлома, нет никакого официального подтверждения того, что были взломаны прочие федеральные агентства. Тем не менее, Агентство США по кибербезопасности и безопасности инфраструктуры выпустило консультативное заключение, призывающее федеральные агентства срочно принять меры по устранению вредоносного ПО, отметив, что оно «в настоящее время используется злоумышленниками».

В своем заявлении в четверг избранный президент Джо Байден сообщил, что его администрация «сделает борьбу с этой утечкой главным приоритетом с того момента, как его команда вступит в должность».

Почему данный взлом такой «громкий»?

В дополнение к получению доступа к нескольким правительственным системам, хакеры превратили обычное обновление программного обеспечения в оружие. Это оружие нацелено на тысячи групп, а не только агентства и компании, на которых сосредоточились хакеры после установки взломанного обновления Orion.

Президент Microsoft Брэд Смит назвал это «актом безрассудства» в обширном посте в своем блоге, где исследовал последствия взлома. Он не приписывал атаку России напрямую, но описал ее предыдущие «предположительно русские» хакерские кампании как доказательство все более и более обостряющегося конфликта в киберпространстве.

«Это не просто атака на конкретные цели, - заявил Смит, - но покушение на доверие и надежность критически важной мировой инфраструктуры для продвижения интересов спецслужб одной страны». Далее он призвал к заключению международных соглашений, ограничивающих создание инструментов взлома, которые подрывают глобальную кибербезопасность.

Бывший глава кибербезопасности Facebook Алекс Стамос заявил в Twitter, что успешность и громкий эффект данного взлома может привести к росту распространения «supply-chain» атак. Однако, он выразил сомнения в том, что такая атака является чем-то из ряда вон выходящим для хорошо обеспеченной ресурсами разведывательной службы.

«До сих пор все опубликованные подробности происшествия не выходят за границы того, что США делают регулярно», - заявил Стамос.

Пострадали ли частные компании и другие правительства?

Да. В четверг Microsoft подтвердила, что обнаружила признаки вредоносного ПО в своих системах, нарушение коснулось клиентов ее служб кибербезопасности. В отчете Reuters также говорилось о том, что собственные системы Microsoft использовались для продолжения кампании по взлому, однако Microsoft опровергла это заявление. В среду Microsoft начала карантин зараженных версий Orion, чтобы отключить хакеров от систем своих клиентов.

На прошлой неделе FireEye также подтвердила, что была заражена вредоносной программой, а также засекла заражение в клиентских системах.

Кроме компаний FireEye и Microsoft, неясно, кто из клиентов частного сектора SolarWinds обнаружил заражение вредоносным ПО. В список клиентов SolarWinds входят крупные корпорации, такие как AT&T, Procter & Gamble и McDonald's, а также правительства и частные компании по всему миру. FireEye сообщает, что многие из этих клиентов были заражены.

Что мы знаем о причастности России к взлому?

Неизвестные правительственные чиновники США, как сообщается, заявили новостным агентствам, что хакерская группа, которую «многие считают связанной русской разведкой», несет ответственность за данную кампанию по распространению вредоносного ПО. SolarWinds и правительство США приписывают взлом «хакерам, работающим на правительство одного из государств», но не называют страну напрямую.

В заявлении на Facebook посольство России в США отрицает ответственность за хакерскую кампанию SolarWinds. «Вредоносная деятельность в информационном пространстве противоречит принципам российской внешней политики, национальным интересам и нашему пониманию межгосударственных отношений», - заявили в посольстве, добавив, что «Россия не проводит наступательных операций в киберпространстве».

Обвиняемая новостными агентствами в атаке SolarWinds хакерская группа, известная как «APT29» или «CozyBear» ранее фигурировала в атаках на почтовые системы в Госдепартаменте и Белом доме во время администрации президента Барака Обамы. Она также была названа американскими спецслужбами одной из групп, которые проникли в системы электронной почты в Национальном комитете демократической партии в 2015 году, но утечка этих электронных писем не приписывается «CozyBear» (в этом обвинили других «русских хакеров»).

Совсем недавно США, Великобритания и Канада определили «CozyBear» как ответственных за попытки взлома с целью получения доступа к информации об исследованиях в области вакцины COVID-19.

 

Перевод сделан со статьи: https://www.cnet.com