Wyjaśnienie: masowy cyberatak w USA z wykorzystaniem nowatorskiego zestawu narzędzi

Jeden z największych cyberataków wymierzonych w agencje rządowe USA i firmy prywatne, „hack SolarWinds” jest postrzegany jako prawdopodobny globalny wysiłek. Jak to zostało przeprowadzone i jakie dane zostały naruszone? Dlaczego urzędnicy i politycy rządu USA nazwali Rosję?

Celem cyberataku był Orion, oprogramowanie dostarczane przez firmę SolarWinds. (Zdjęcie Reutera)

„Shack SolarWinds”, cyberatak odkryty niedawno w Stanach Zjednoczonych, okazał się jednym z największy w historii wymierzone przeciwko rządowi USA, jego agencjom i kilku innym prywatnym firmom. W rzeczywistości jest to prawdopodobnie globalny cyberatak.

Po raz pierwszy została odkryta przez amerykańską firmę FireEye zajmującą się cyberbezpieczeństwem i od tego czasu każdego dnia wychodzi na jaw coraz więcej zmian. Sama skala cyberataku pozostaje nieznana, chociaż uważa się, że dotyczyło to Departamentu Skarbu USA, Departamentu Bezpieczeństwa Wewnętrznego, Departamentu Handlu i części Pentagonu.

W ciągu fragment opinii napisany dla New York Times , Thomas P Bossert, który był doradcą ds. bezpieczeństwa wewnętrznego prezydenta Donalda Trumpa, wymienił Rosję jako miejsce ataku. Napisał dowody w ataku na SolarWinds, wskazujące na rosyjską agencję wywiadowczą znaną jako SVR, której statek handlowy jest jednym z najbardziej zaawansowanych na świecie. Kreml zaprzeczył swojemu zaangażowaniu.

Czym więc jest ten „hack SolarWinds”?

Wiadomość o cyberataku technicznie po raz pierwszy pojawiła się 8 grudnia, kiedy FireEye opublikował bloga wykrywającego atak na swoje systemy. Firma pomaga w zarządzaniu bezpieczeństwem kilku dużych firm prywatnych i federalnych agencji rządowych.

Dyrektor generalny FireEye, Kevin Mandia, napisał na swoim blogu, że firma została zaatakowana przez wysoce wyrafinowanego cyberprzestępcę, nazywając to atakiem sponsorowanym przez państwo, chociaż nie nazwał Rosji. Powiedział, że atak został przeprowadzony przez naród o najwyższych możliwościach ofensywnych, a atakujący szukał przede wszystkim informacji związanych z niektórymi klientami rządowymi. Stwierdzono również, że metody stosowane przez napastników były nowatorskie.

Następnie 13 grudnia FireEye powiedział, że cyberatak, który nazwał kampanią UNC2452, nie był ograniczony do firmy, ale był wymierzony w różne organizacje publiczne i prywatne na całym świecie. Jak czytamy w poście, kampania prawdopodobnie rozpoczęła się w marcu 2020 r. i trwa od miesięcy. Co gorsza, zakres danych skradzionych lub zhakowanych jest nadal nieznany, biorąc pod uwagę, że skala ataku jest wciąż odkrywana. Po naruszeniu systemów nastąpiło przesunięcie boczne i kradzież danych.

W jaki sposób zaatakowano tak wiele amerykańskich agencji rządowych i firm?

Nazywa się to atakiem „łańcucha dostaw”: zamiast bezpośrednio atakować rząd federalny lub sieć organizacji prywatnej, hakerzy atakują zewnętrznego dostawcę, który dostarcza im oprogramowanie. W tym przypadku celem było oprogramowanie do zarządzania IT o nazwie Orion, dostarczane przez firmę SolarWinds z Teksasu.

Orion był dominującym oprogramowaniem firmy SolarWinds z klientami, do których należy ponad 33 000 firm. SolarWinds twierdzi, że miało to wpływ na 18 000 klientów. Nawiasem mówiąc, firma usunęła listę klientów ze swoich oficjalnych stron internetowych.

Według strony, która również została usunięta z archiwów internetowych Google, lista obejmuje 425 firm z listy Fortune 500, 10 największych operatorów telekomunikacyjnych w USA. Raport New York Times powiedział, że dotyczy to części Pentagonu, Centrów Kontroli i Prewencji Chorób, Departamentu Stanu, Departamentu Sprawiedliwości i innych.

Firma Microsoft potwierdziła, że ​​znalazła dowody na obecność złośliwego oprogramowania w ich systemach, chociaż dodała, że ​​nie ma dowodów na dostęp do usług produkcyjnych lub danych klientów ani na to, że jej systemy były wykorzystywane do atakowania innych osób. Prezes Microsoftu, Brad Smith, powiedział, że firma zaczęła powiadamiać ponad 40 klientów, że napastnicy celowali bardziej precyzyjnie i narażali się na szwank.

Raport Reutersa mówi, że nawet e-maile wysyłane przez urzędników Departamentu Bezpieczeństwa Wewnętrznego były monitorowane przez hakerów.

Jak uzyskali dostęp?

Według FireEye hakerzy uzyskali dostęp do ofiar za pośrednictwem strojanizowanych aktualizacji oprogramowania do monitorowania i zarządzania IT Orion firmy SolarWinds. Zasadniczo wykorzystano aktualizację oprogramowania do zainstalowania szkodliwego oprogramowania „Sunburst” w Orionie, które zostało następnie zainstalowane przez ponad 17 000 klientów.

FireEye twierdzi, że napastnicy polegali na wielu technikach, aby uniknąć wykrycia i zaciemnienia swojej aktywności. Złośliwe oprogramowanie było w stanie uzyskać dostęp do plików systemowych. Według FireEye to, co działało na korzyść szkodliwego oprogramowania, było to, że było ono w stanie wtopić się w legalną aktywność SolarWinds.

Po zainstalowaniu złośliwe oprogramowanie otwierało hakerom dostęp tylnymi drzwiami do systemów i sieci klientów SolarWinds. Co ważniejsze, złośliwe oprogramowanie było również w stanie udaremnić wykrywanie takich narzędzi, jak antywirus.

Gdzie wkracza Rosja?

W swoim artykule opinii w NYT Bossert wymienił Rosję i jej agencję SVR, która ma możliwości przeprowadzenia ataku o takiej pomysłowości i skali.

Microsoft zauważa na swoim blogu, że ten aspekt ataku stworzył lukę w łańcuchu dostaw o prawie globalnym znaczeniu, docierającą do wielu głównych stolic narodowych poza Rosją. Dodaje, że wyrafinowane ataki z Rosji stały się powszechne.

Jednak FireEye nie wskazał jeszcze Rosji jako odpowiedzialnej i powiedział, że jest to trwające śledztwo z FBI, Microsoftem i innymi kluczowymi partnerami, których nazwiska nie wymieniono.

Co SolarWinds i rząd USA powiedziały o włamaniu?

W tej chwili SolarWinds zaleca wszystkim klientom natychmiastową aktualizację istniejącej platformy Orion, która zawiera poprawkę dla tego złośliwego oprogramowania. Jeśli aktywność napastnika zostanie wykryta w środowisku, zalecamy przeprowadzenie kompleksowego dochodzenia oraz zaprojektowanie i wykonanie strategii naprawczej opartej na ustaleniach dochodzenia i szczegółach zaatakowanego środowiska.

Osobom, które nie mogą zaktualizować, kazano odizolować serwery SolarWinds i powinno to obejmować zablokowanie całego ruchu wychodzącego z Internetu z serwerów SolarWinds. Absolutną minimalną sugestią jest zmiana haseł do kont, które mają dostęp do serwerów / infrastruktury SolarWinds.

Amerykańska Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) wydała Dyrektywę Nadzwyczajną 21-01, prosząc wszystkie federalne agencje cywilne o dokonanie przeglądu swoich sieci pod kątem oznak zagrożenia. Poprosił ich o natychmiastowe odłączenie lub wyłączenie produktów SolarWinds Orion.

FBI, CISA i biuro Dyrektora Wywiadu Narodowego wydały wspólne oświadczenie i ogłosiły tak zwaną „Cyber ​​Unified Coordination Group (UCG) w celu koordynowania reakcji rządu na kryzys. W oświadczeniu nazwano to znaczącą i trwającą kampanią dotyczącą cyberbezpieczeństwa.

Biały Dom i prezydent Donald Trump milczeli. Senator Mitt Romney podsumował to najlepiej w swoich komentarzach dla dziennikarza Oliviera Knoxa z radia SiriusXM, w którym porównał ten atak do odpowiednika rosyjskich bombowców przelatujących niepostrzeżenie po całym kraju, ukazując słabość Stanów Zjednoczonych do prowadzenia wojny cybernetycznej. Powiedział, że milczenie i bezczynność Białego Domu są niewybaczalne.

Senator Richard Blumenthal, Demokrata, napisał na Twitterze: Rosyjski cyberatak wywołał we mnie głębokie zaniepokojenie, wręcz przestraszenie.

Prezydent elekt Joe Biden powiedział w oświadczeniu: Dobra obrona nie wystarczy; W pierwszej kolejności musimy przeszkadzać i odstraszać naszych przeciwników od podejmowania znaczących cyberataków.

Podziel Się Z Przyjaciółmi: