Один из самых изощренных и крупнейших взломов американских правительственных систем за последние годы. Так СМИ окрестили хакерскую атаку на несколько министерств США, масштабы которой впоследствии оказались гораздо более впечатляющими, чем изначально предполагалось. Ее связали с ПО компании SolarWinds и, конечно же, российскими хакерами.
Первые сообщения об атаке появились 13 декабря. Изначально речь шла о системах Минфина и одного из подразделений Министерства торговли США — злоумышленники месяцами отслеживали внутреннюю почту ведомств. Однако уже тогда в СМИ заговорили, что это может быть лишь верхушкой айсберга.Едва ли не каждый день к списку затронутых атакой государственных ведомств и частных компаний добавлялись новые жертвы. Среди них — Microsoft, FireEye, Cisco, а также Госдеп, Министерство внутренней безопасности, Министерство энергетики США и другие.В атаке обвинили хакеров, "спонсируемых иностранным государством". Виновных не пришлось долго искать. Практически сразу указали на конкретное государство, предположительно стоящее за инцидентом, — Россию.ForkLog разобрался в особенностях атаки на поставщика ПО SolarWinds, с которого все началось. Ключевое Хакеры заразили вредоносом платформу от SolarWinds. Ее использовали множество ведомств и компаний — зараженную версию установили около 18 000 клиентов SolarWinds. Ответственность за взлом американские СМИ и спецслужбы, занимающиеся расследованием, возлагают на "российских хакеров". Истинные масштабы ущерба пока неизвестны — выяснилось, что атаковавшие SolarWinds скомпрометировали и компании, не использовавшие продукты SolarWinds. Взлом SolarWinds — пазл из множества деталей 8 декабря одна из самых известных компаний по кибербезопасности FireEye сообщила о том, что сама пострадала от хакерской атаки. Злоумышленники получили доступ к инструментам, которые FireEye использовала для тестирования безопасности сетей своих клиентов. "Эта кража сравнима с тем, если бы грабители банка, "обчистив" хранилища, вернулись и похитили инструменты ФБР для расследования ограбления", — написали в The New York Times. СЕО компании Кевин Мандиа [Kevin Mandia] заявил, что за взломом стоят "изощренные злоумышленники, чья дисциплина и методы заставляют предположить, что это была атака, спонсируемая государством".Позже выяснилось, что FireEye не была единственной целью хакеров — она стала одной из многочисленных жертв атаки на поставщика ПО SolarWinds, о которой стало известно позже. К расследованию инцидента присоединилась и сама FireEye.SolarWinds является крупной американской IT-компанией, разрабатывающей ПО для множества госпредприятий и частных фирм для управления их сетями, системами и инфраструктурой.После того, как начали появляться первые сообщения в СМИ о проникновении хакеров в правительственные системы, компания попросила пользователей срочно обновить платформу Orion. SolarWinds asks all customers to upgrade immediately to Orion Platform version 2020.2.1 HF 1 to address a security vulnerability. More information is available at https://t.co/scsUhZJCk8 — SolarWinds (@solarwinds) December 14, 2020Выяснилось, что именно Orion была одним из главных источников последующих проблем для множества компаний. Злоумышленники заразили вредоносным ПО версии Orion, выпущенные в период с марта по июнь 2020 года. При загрузке обновлений хакеры получали доступ к сетям клиентов SolarWinds.Специалисты FireEye назвали вредонос SUNBURST, подключившаяся к расследованию Microsoft — Solorigate. Первоначальное расследование Microsoft показало, что большинство пострадавших от атаки сосредоточены в США, а жертвами в основном стали IT-компании и правительственные структуры.[caption id="attachment_124598" align="aligncenter" width="820"] Источник: Microsoft.[/caption]Позже оказалось, что атака затронула и саму Microsoft. pic.twitter.com/2GBfCTRSQx — Frank X. Shaw (@fxshaw) December 18, 2020Несмотря на то, что в компании заявили, что вредоносные файлы изолировали и удалили, знакомые с ситуацией источники рассказали, что хакеры задействовали продукты Microsoft в дальнейших атаках.Постепенно добавляющиеся детали делали этот взлом все резонансней. Исследователь Винот Кумар заявил, что ранее получил доступ к серверу обновлений SolarWinds благодаря элементарному паролю — «solarwinds123». SolarWinds, whose software was backdoored to allow hackers to breach U.S. government agencies, was warned last year that anyone could access its update server using the password "solarwinds123", per @bing_chris and @razhael. https://t.co/2mRGTKHu87 — Zack Whittaker (@zackwhittaker) December 15, 2020Бывший советник по безопасности SolarWinds Йен Торнтон-Трамп [Ian Thornton-Trump] предупреждал компанию о рисках кибербезопасности еще в 2017 году, однако, по его словам, так и не был услышан.«Я считаю, что с точки зрения безопасности SolarWinds была невероятно легкой мишенью для взлома», — сказал он.Специалисты Group-IB выявили, что известный русскоязычный хакер Fxmsp продавал доступы к solarwinds.com и dameware.com (ПО дистанционного управления Solarwinds) на одном из форумов еще в октябре 2017 года.Знакомые с расследованием источники также рассказали, что хакеры осуществили пробную атаку в октябре 2019 года — они распространяли сторонние файлы из сетей Solarwinds. Тогда файлы не содержали бэкдоров, но это демонстрирует, что у злоумышленников уже был доступ к Solarwinds задолго до того, как стало известно об атаке.Примечательно и то, что топ-инвесторы SolarWinds продали акции на сотни миллионов долларов за несколько дней до первых сообщений о взломе. Российский след Начиная с самых первых сообщений об атаке SolarWinds ее приписали "российским хакерам".Ведущие агентства нацбезопасности США, включая ФБР, Агентство кибербезопасности и защиты инфраструктуры (CISA), АНБ и Аппарат директора Национальной разведки (ODNI) выпустили совместное заявление, согласно которому именно Россия с наибольшей вероятностью ответственна за взлом. Just released: Joint statement with our partners at @FBI, @ODNIgov, and @NSAGov on the recent significant cyber incident involving federal government networks: https://t.co/nxHaN5UJRp — Cybersecurity and Infrastructure Security Agency (@CISAgov) January 5, 2021Целью атаки они назвали сбор разведданных.О "российском следе" может говорить и тот факт, что, согласно The New York Times, под расследование ФБР попала компания JetBrains, основанная выходцами из РФ. Как писало издание, ФБР проверяло, могли ли инструменты компании использоваться во взломе SolarWinds.В JetBrains заявили, что с ними "не связывался ни один государственный орган или агентство безопасности". Позже они дополнили заявление тем, что "JetBrains никоим образом не участвовала в этом инциденте".Российская сторона с самого начала отвергла свою причастность, а обвинения назвала безосновательными.
Свежие комментарии