Инвестфонды США знали об атаке хакеров. Или это не атака хакеров
13 декабря 2020 года компания по кибербезопасности FireEye сообщила, что финансируемые иностранным правительством хакеры взломали компьютерные сети американского производителя программного обеспечения SolarWinds1Основные продукты SolarWinds — системы сетевого управления, а также решения для мониторинга сетей и обнаружения сетевых устройств. и внедрили вредоносное обновление в его ПО Orion.
По версии SolarWinds, зараженная версия платформы Orion была установлена у 18 000 клиентов из 300 000. Среди клиентов SolarWinds значатся государственные, консалтинговые, технологические, телекоммуникационные и нефтегазовые компании в Северной Америке, Европе, Азии и на Ближнем Востоке. В США клиентами компании являются несколько основных поставщиков телекоммуникационных услуг, все подразделения вооруженных сил США, Агентство национальной безопасности США, госдепартамент и офис президента. Пользуются данным ПО и организации, подозреваемые в связях с чеченскими сепаратистами и русскоязычные торговцы наркотиками.
Руководитель компании FireEye Кевин Мандиа написал в блоге, что эта атака отличалась от десятков тысяч других в отношении FireEye, а также заявил, что хакеры использовали новую неизвестную ему комбинацию техник и предположил, что атака спонсировалась на государственном уровне.
FireEye сообщает, что ее учетные записи Microsoft Office 365 были похищены, а система сборки подверглась злоупотреблениям, что противоречит возможности использования открытых учетных данных FTP для загрузки вредоносного кода. Компания утверждает, что вредоносное ПО не присутствовало в репозитории исходного кода продуктов Orion.
Агентство Reuters 14 декабря первым сообщило о взломах министерства финансов и торговли, заявив, что они были совершены группой, поддерживаемой иностранным правительством. Взлому было посвящено заседание Совета национальной безопасности в Белом доме 12 декабря. Правительство США и ФБР не называет предполагаемый источник кибератаки.
Источники Washington Post и The New York Times возлагают ответственность за атаку на группировку APT29, или Cozy Bear, которая “предположительно работает под эгидой ФСБ России и СВР России”.
16 декабря в Washington Post вышла статья о том, что инвестфонды из Silver Lake и Thoma Bravo продали акции SolarWinds на $158 и $128 млн за шесть дней до того, как стало известно о взломе. Обе инвестфирмы владеют 70% SolarWinds и контролируют шесть мест в совете директоров компании, что открывает доступ к ключевой финансовой информации. Сроки продажи акций указывают о возможном использовании инсайдерской информации.
Исследователь кибербезопасности Винот Кумара считает, что компрометация ПО произошла в 2019 году, когда учетные данные сервера обновлений ПО SolarWinds были опубликованы в открытом доступе на GitHub. Сервер обновлений был доступен с паролем solarwinds123, о чем он уведомил компанию, которая исправила проблему через три дня. Однако репозиторий на Github был до этого доступен в течение долгого времени. Исследователь настаивает на том, что данная утечка свидетельствует о низком уровне безопасности в компании, что подрывает теорию о высоком искусстве хакеров, необходимом для совершения атаки.
По данным Reuters, хакеры на подпольных форумах ранее предлагали продать доступ к компьютерам SolarWinds.
Говорить о влиянии данной новости на международную политику еще рано, несмотря на заявления некоторых представителей государственных структур США и политических деятелей о необходимости жесткого ответа России, поскольку ни правительство США, ни расследующие кибератаку службы не заявили о своей уверенности в причастности российских спецслужб к данной операции.
Более подробная информация представлена в аналитическом материале «Технические особенности кибератаки, способы детектирования, рекомендации для клиентов»
- 1Основные продукты SolarWinds — системы сетевого управления, а также решения для мониторинга сетей и обнаружения сетевых устройств. и внедрили вредоносное обновление в его
