Обяснено: Масова кибератака в САЩ, използваща нов набор от инструменти

Една от най-големите кибератаки, насочена към американски правителствени агенции и частни компании, „хакът на SolarWinds“ се разглежда като вероятно глобално усилие. Как беше извършено и какви данни са били компрометирани? Защо държавни служители и политици на САЩ са посочили Русия?

Целта на кибератаката беше Orion, софтуер, доставен от компанията SolarWinds. (Снимка на Ройтерс)

„Хакът на SolarWinds“, кибератака, открита наскоро в Съединените щати, се очертава като една от най-големият някога насочени срещу правителството на САЩ, неговите агенции и няколко други частни компании. Всъщност това вероятно е глобална кибератака.

Той беше открит за първи път от американската компания за киберсигурност FireEye и оттогава все повече разработки продължават да излизат наяве всеки ден. Самият мащаб на кибератаката остава неизвестен, въпреки че се смята, че са засегнати Министерството на финансите на САЩ, Министерството на вътрешната сигурност, Министерството на търговията, части от Пентагона.

В един мнение написано за Ню Йорк Таймс Томас Босерт, който беше съветник по вътрешна сигурност на президента Доналд Тръмп, посочи Русия за атаката. Той написа доказателства в атаката на SolarWinds, която сочи към руската разузнавателна агенция, известна като SVR, чийто опит е сред най-напредналите в света. Кремъл отрече участието си.

И така, какво е този „Хак на SolarWinds“?

Новините за кибератаката технически за първи път се появиха на 8 декември, когато FireEye публикува блог, откриващ атака срещу своите системи. Фирмата помага при управлението на сигурността на няколко големи частни компании и федерални държавни агенции.

Главният изпълнителен директор на FireEye Кевин Мандиа написа в публикация в блог, че компанията е била атакувана от изключително усъвършенствана заплаха, наричайки я спонсорирана от държавата атака, въпреки че не посочи Русия. В него се казва, че атаката е извършена от нация с най-високо ниво на офанзивни способности и нападателят е търсил предимно информация, свързана с определени правителствени клиенти. Освен това се казва, че методите, използвани от нападателите, са нови.

След това на 13 декември FireEye каза, че кибератаката, която нарече Campaign UNC2452, не е била ограничена до компанията, а е била насочена към различни публични и частни организации по целия свят. Кампанията вероятно започна през март 2020 г. и продължава от месеци, се казва в публикацията. По-лошото е, че степента на откраднати или компрометирани данни все още не е известна, като се има предвид, че мащабът на атаката все още се открива. След като системите бяха компрометирани, се случи странично движение и кражба на данни.

Как бяха атакувани толкова много държавни агенции и компании на САЩ?

Това се нарича атака във веригата за доставки: вместо директно да атакуват федералното правителство или мрежата на частна организация, хакерите се насочват към доставчик на трета страна, който им доставя софтуер. В този случай целта беше софтуер за управление на ИТ, наречен Orion, доставен от базираната в Тексас компания SolarWinds.

Orion е доминиращ софтуер от SolarWinds с клиенти, които включват над 33 000 компании. SolarWinds казва, че 18 000 от неговите клиенти са били засегнати. Между другото, компанията е изтрила списъка с клиенти от официалните си уебсайтове.

Според страницата, която също е изтрита от уеб архивите на Google, списъкът включва 425 компании от Fortune 500, топ 10 на телекомуникационните оператори в САЩ. В доклад на New York Times се казва, че части от Пентагона, Центровете за контрол и превенция на заболяванията, Държавния департамент, Министерството на правосъдието и други са засегнати.

Microsoft потвърди, че е открила доказателства за злонамерения софтуер в техните системи, въпреки че добави, че няма доказателства за достъп до производствени услуги или клиентски данни, или че системите му са били използвани за атака на други. Президентът на Microsoft Брад Смит каза, че компанията е започнала да уведомява повече от 40 клиенти, че нападателите са се насочили по-прецизно и са компрометирани.

В доклад на Reuters се казва, че дори имейлите, изпратени от служители на Министерството на вътрешната сигурност, са били наблюдавани от хакерите.

Как получиха достъп?

Според FireEye, хакерите са получили достъп до жертвите чрез троянизирани актуализации на софтуера за мониторинг и управление на ИТ Orion на SolarWinds. По принцип беше използвана софтуерна актуализация за инсталиране на зловреден софтуер „Sunburst“ в Orion, който след това беше инсталиран от повече от 17 000 клиенти.

FireEye казва, че нападателите са разчитали на множество техники, за да не бъдат открити и да прикрият дейността си. Зловредният софтуер е бил в състояние да осъществява достъп до системните файлове. Това, което работи в полза на зловредния софтуер, беше, че той успя да се слее с легитимната активност на SolarWinds, според FireEye.

Веднъж инсталиран, злонамереният софтуер даде заден вход на хакерите в системите и мрежите на клиентите на SolarWinds. По-важното е, че злонамереният софтуер също е в състояние да попречи на инструменти като антивирус, който може да го открие.

Къде влиза Русия?

В статията си за мнение в NYT Босерт посочи Русия и нейната агенция SVR, която има способността да извърши атака с такава изобретателност и мащаб.

Microsoft отбелязва в своя блог, че този аспект на атаката създава уязвимост във веригата за доставки от почти глобално значение, достигайки до много големи национални столици извън Русия. По-нататък се добавя, че сложните атаки от Русия са станали често срещани.

FireEye обаче все още не е посочил Русия като отговорна и заяви, че е в ход разследване с ФБР, Microsoft и други ключови партньори, които не са посочени.

Какво казаха SolarWinds и правителството на САЩ за хака?

Точно сега SolarWinds препоръчва на всички клиенти незабавно да актуализират съществуващата платформа Orion, която има корекция за този зловреден софтуер. Ако активността на нападателя бъде открита в среда, препоръчваме провеждане на цялостно разследване и проектиране и изпълнение на стратегия за възстановяване, ръководена от констатациите от разследването и подробностите за засегнатата среда, се казва в него.

На тези, които не могат да се актуализират, се казва да изолират сървърите на SolarWinds и това трябва да включва блокиране на всички изходни връзки в Интернет от сървърите на SolarWinds. Най-малкото предложение е промяната на паролите за акаунти, които имат достъп до сървъри/инфраструктура на SolarWinds.

Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) издаде Директива за спешни случаи 21-01, като поиска от всички федерални граждански агенции да прегледат мрежите си за индикатори за компромис. Той ги помоли незабавно да изключат или изключат продуктите на SolarWinds Orion.

ФБР, CISA и службата на директора на националното разузнаване излязоха със съвместно изявление и обявиха така наречената „Киберунифицирана координационна група (UCG), за да координират правителствения отговор на кризата. Изявлението нарича това значима и продължаваща кампания за киберсигурност.

Белият дом и президентът Доналд Тръмп мълчаха. Сенатор Мит Ромни го обобщи най-добре в коментарите си пред журналиста Оливие Нокс от радио SiriusXM, където сравни тази атака с еквивалента на руски бомбардировачи, летящи незабелязани из цялата страна, разкривайки слабостта на САЩ в кибервойната. Той каза, че мълчанието и бездействието на Белия дом са непростими.

Сенатор Ричард Блументал, демократ, туитира: кибератаката на Русия ме остави дълбоко разтревожен, всъщност направо уплашен.

Избраният президент Джо Байдън каза в изявление: Добрата защита не е достатъчна; На първо място трябва да разстроим и възпираме нашите противници да предприемат значителни кибератаки.

Споделете С Приятелите Си: