Обяснено: Как кибератаката SolarWinds удари Microsoft

Microsoft не потвърди до кой изходен код е бил достъпен от хакерите. Въпреки това, фактът, че хакерите са влезли толкова дълбоко, е доста тревожен, като се има предвид изходния код е от решаващо значение за това как работи всеки софтуер.

Целта на кибератаката беше Orion, софтуер, доставен от компанията SolarWinds. (Снимка на Ройтерс)

Като част от текущите си разследвания на кибератаката на SolarWinds, Microsoft разкри, че вътрешен изходен код вероятно е бил достъпен от нападателите. Компанията по-рано потвърди, че и тя е била компрометирана, което се разглежда като една от най-големите кибератаки в света, насочена основно към правителството на Съединените щати (САЩ) и няколко други частни организации. Кибератаката на SolarWinds беше разкрита за първи път през декември от фирмата за киберсигурност FireEye.

Разглеждаме какво разкри последното разследване на Microsoft и какво означава то.

Какво разкри Microsoft в новите си разследвания?

Според официална публикация в блога на компанията, екипът за изследване на вътрешната сигурност на Microsoft е открил доказателства, че нападателите са имали достъп до някакъв вътрешен изходен код в системите на компанията. „Инцидентът Solorigate“, както го нарече Microsoft в блога, показа, че е имало опити за дейности извън наличието на злонамерен код SolarWinds в нашата среда.

Открихме необичайна активност с малък брой вътрешни акаунти и след преглед открихме, че един акаунт е бил използван за преглед на изходния код в редица хранилища на изходен код. Според публикацията акаунтът не е имал необходимите разрешения за достъп до кода, за да го модифицира, нито е бил оторизиран за достъп до инженерните системи.

Компанията казва, че досега разследването потвърди, че не са правени промени в този изходен код. Тези сметки са били разследвани и санирани, допълват от компанията.

Какво означава това?

Microsoft не потвърди до кой изходен код е бил достъпен от хакерите. Въпреки това, фактът, че хакерите са влезли толкова дълбоко, е доста тревожен, като се има предвид изходния код е от решаващо значение за това как работи всеки софтуер. Изходният код е ключът към това как се създава софтуерен продукт и ако бъде компрометиран, може да го остави отворен за нови, неизвестни рискове. Хакерите могат да използват тази информация, за да използват всяка потенциална слабост в програмите.

Microsoft казва, че тази дейност не е изложила на риск сигурността на нашите услуги или каквито и да е клиентски данни, но добавя, че смятат, че тази атака е извършена от много усъвършенстван участник в националната държава. Компанията казва, че няма доказателства, че нейните системи са били използвани за атака на други.

Какво още разкри Microsoft?

Microsoft казва, че разчита на най-добрите практики за разработка на софтуер с отворен код и култура, подобна на отворен код за разработване на софтуер. Обикновено изходният код се вижда от екипи в Microsoft, според блога. Компанията също така отбелязва, че нейните модели на заплахи предполагат, че нападателите имат познания за изходния код. Microsoft омаловажава риска, като казва, че само разглеждането на изходния код не трябва да причинява нови повишени рискове.

Microsoft казва, че има много защитни защити, за да спре нападателите, ако и когато получат достъп. В него се казва, че има доказателства, че дейностите на хакерите са били осуетени от съществуващите защити на компанията.

Технологичният гигант казва, че ще предостави допълнителни актуализации, ако получи нова информация.

Какво още беше разкрито в този хак на SolarWinds?

Проблемът с тази кибератака е, че тя продължава толкова дълго, че пълният мащаб остава неизвестен. Всъщност атаката може да е започнала по-рано от миналата пролет, както се смяташе преди. Сенаторът демократ Марк Уорнър от Вирджиния, който е заместник-председател на комисията по разузнаването на Сената, каза в интервю за Ройтерс, че атаката вероятно е започнала много по-рано. Той каза също, че в момента правителството на САЩ няма твърди доказателства, че класифицирани държавни тайни са били компрометирани от хакерите, според доклада на Ройтерс.

Самият мащаб на атаката също остава неизвестен, според повечето доклади. Междувременно FireEye, който откри атаката, разкри нови подробности за злонамерения софтуер Sunburst. Зловредният софтуер използва софтуера SolarWinds Orion, който се използва от хиляди компании, включително няколко правителствени агенции на САЩ.

Според FireEye, Sunburst – злонамерена версия на цифрово подписан плъгин SolarWinds Orion – съдържа бекдор, който комуникира чрез HTTP със сървъри на трети страни. Изглежда, че плъгинът остава неактивен период до две седмици, след което започва да изпълнява команди и да изпълнява задачи като прехвърляне на файлове, изпълнение на файлове, профилиране на системата, рестартиране на системата и деактивиране на системните услуги.

Също така изглежда, че злонамереният софтуер извършва множество проверки, за да гарантира, че няма налични инструменти за анализ, според FireEye. Този предпазлив подход е това, което помогна на злонамерения софтуер да избегне откриването от антивирусен софтуер и криминалистични следователи в продължение на седем месеца след въвеждането му във веригата за доставки на SolarWinds Orion, според фирмата за киберсигурност.

Споделете С Приятелите Си: