Президент Microsoft Брэд Смит объявил о взломе компании SolarWinds, однако вскоре стало известно, что хакеры также проникли в федеральные агентства, включая службы национальной безопасности и ядерные программы. Microsoft и другие компании тоже стали жертвами. Во взломе подозревают российских хакеров.
Деятельность компании под угрозой
Взломанная компания SolarWinds продает программное обеспечение, которое позволяет организации видеть, что происходит в ее компьютерных сетях. Хакеры вставили вредоносный код в обновленную версию программного обеспечения под названием Orion. По данным компании, около 18 000 клиентов SolarWinds установили испорченные обновления в свои системы.
Скомпрометированный процесс обновления имел широкий эффект, масштабы которого продолжают расти по мере появления новой информации. Судя по газетным сообщениям, заявлениям компании и анализу других охранных компаний, российское разведывательное агентство, как сообщается, осуществило изощренную атаку, поразившую несколько федеральных агентств США и частные компании, включая Microsoft.
Огромные масштабы повреждений
Агентства национальной безопасности США выступили с совместным заявлением, в котором признали «значительную и продолжающуюся хакерскую кампанию», затрагивающую федеральное правительство. До сих пор неясно, сколько агентств затронуто или какую информацию могли украсть хакеры, но, судя по всему, вредоносное ПО чрезвычайно мощное. Деятельность компании Microsoft была полностью остановлена на какое-то время.
Также пострадали системы Министерства энергетики и Национального управления ядерной безопасности. Было выявлено более 40 клиентов, ставших целью взлома. Вероятно, скоро появится больше информации о взломе и его последствиях. Действующий на тот момент президент США Дональд Трамп высказал в «Твиттере» идею о том, что за атакой может стоять Китай. Однако позже основной стала версия об участии российских хакеров.
Как хакеры внедрили вредоносную программу?
Хакерам удалось получить доступ к системе, которую SolarWinds использует для создания обновлений своего продукта Orion, пояснила компания в заявлении в SEC. Оттуда они вставляли вредоносный код в легитимные обновления программного обеспечения. Это известно, как атака на цепочку поставок. Она заражает программное обеспечение во время его сборки.
Для хакеров это большая удача, чтобы осуществить атаку на цепочку поставок, потому что она упаковывает их вредоносное ПО в надежную часть программного обеспечения. Вместо того чтобы поражать отдельные области с помощью фишинговой кампании, хакеры могли полагаться на несколько государственных учреждений и компаний для установки обновления Orion по запросу SolarWinds.
В данном случае этот подход особенно эффективен, поскольку, как сообщается, сотни тысяч компаний и государственных учреждений по всему миру используют программное обеспечение Orion. С выпуском испорченного обновления программного обеспечения обширный список клиентов SolarWinds стал потенциальной целью взлома. Многие из них узнали об этом слишком поздно.
Какие госструктуры были заражены вредоносным ПО?
Вредоносная программа затронула министерства внутренней безопасности, торговли и казначейства США, а также национальные институты здравоохранения. Ядерные программы Министерства энергетики США и Национального управления ядерной безопасности также стали мишенью. До сих пор неясно, какая информация была украдена у федеральных агентств, если таковая была, но объем доступа, похоже, широк.
Хотя Министерство энергетики и Министерство торговли признали факт взлома источников новостей, официального подтверждения того, что другие конкретные федеральные агентства были взломаны, нет. Тем не менее Агентство по кибербезопасности и безопасности инфраструктуры США выпустило рекомендацию, призывающую федеральные агентства смягчить воздействие вредоносного ПО, отметив, что оно «в настоящее время используется злоумышленниками».
Почему этот взлом так опасен?
Помимо получения доступа к нескольким правительственным системам, хакеры превратили обычное обновление программного обеспечения в оружие. Оно было нацелено на тысячи групп, а не только на агентства и компании, на которых сосредоточились злоумышленники после установки испорченного обновления Orion.
Президент Microsoft Брэд Смит назвал это «актом безрассудства» в обширном сообщении в блоге, в котором исследуются последствия взлома. Он не приписал взлом напрямую России, но назвал предыдущие предполагаемые хакерские кампании доказательством обострения киберконфликта. Бывший руководитель службы кибербезопасности Facebook Алекс Стамос сказал в Twitter, что взлом может привести к тому, что атаки на цепочки поставок станут более распространенными.
Были ли заражены частные компании или другие правительства?
Глава Microsoft подтвердил, что это так. Взлом затронул также клиентов их служб кибербезопасности. Компания начала помещать в карантин версии Orion, которые, как известно, содержат вредоносное ПО, чтобы отрезать хакерам доступ к системам своих клиентов. FireEye также подтвердил, что он был заражен вредоносным ПО и обнаружил заражение в клиентских системах.
Кроме FireEye и Microsoft, неясно, кто из клиентов из частного сектора SolarWinds также пострадал. В список клиентов компании входят крупные корпорации, такие как AT&T, Procter & Gamble и McDonald's. Компания также считает своими клиентами правительства и частные компании по всему миру. FireEye сообщает, что многие из последних были заражены.
Что известно о причастности России к взлому?
Неназванные официальные лица правительства США сообщили новостным агентствам, что за кампанию по вредоносному ПО несет ответственность хакерская группа, которую многие считают российской разведкой. В SolarWinds, компаниях, занимающихся кибербезопасностью, и в заявлениях правительства США приписывают взлом «национальных государственных субъектов», но не называют страну напрямую.
В заявлении на Facebook посольство России в США отрицает ответственность за хакерскую кампанию SolarWinds. «Злонамеренная деятельность в информационном пространстве противоречит принципам российской внешней политики, национальным интересам и нашему пониманию межгосударственных отношений», - заявили в посольстве, добавив, что «Россия не ведет наступательных операций в киберпространстве».
Хакерскую группу, получившую прозвище APT29 или CozyBear, ранее обвиняли в атаке на системы электронной почты в Государственном департаменте и Белом доме во время правления президента Барака Обамы. Он также был назван американскими спецслужбами в качестве одной из групп, проникших в систему интернет-почты в 2015 году. Совсем недавно США, Великобритания и Канада определили эту группу ответственной за взломы и попытки получить доступ к информации об исследованиях вакцины от COVID-19.
