Explicat: Un atac cibernetic masiv în SUA, folosind un set nou de instrumente

Unul dintre cele mai mari atacuri cibernetice care au vizat agențiile guvernamentale americane și companiile private, „hack-ul SolarWinds” este văzut ca un efort global probabil. Cum a fost realizat și ce fel de date au fost compromise? De ce oficialii guvernului american și politicienii au numit Rusia?

Ținta atacului cibernetic a fost Orion, un software furnizat de compania SolarWinds. (foto Reuters)

„Hack-ul SolarWinds”, un atac cibernetic descoperit recent în Statele Unite, a apărut ca unul dintre cel mai mare vreodată vizate împotriva guvernului SUA, agențiilor sale și a altor câteva companii private. De fapt, este probabil un atac cibernetic global.

A fost descoperit pentru prima dată de compania americană de securitate cibernetică FireEye, iar de atunci mai multe evoluții continuă să iasă la iveală în fiecare zi. Amploarea atacului cibernetic rămâne necunoscută, deși se crede că Trezoreria SUA, Departamentul pentru Securitate Internă, Departamentul de Comerț și părți ale Pentagonului au fost afectate.

jacklyn zeman valoare netă

Într-un piesa de opinie scris pentru The New York Times , Thomas P Bossert, care a fost consilier pentru securitate internă al președintelui Donald Trump, a numit Rusia pentru atac. El a scris dovezi în punctele de atac SolarWinds către agenția rusă de informații cunoscută sub numele de SVR, a cărei meserie este printre cele mai avansate din lume. Kremlinul a negat implicarea sa.

Deci, ce este acest „hack SolarWinds”?

Vestea atacului cibernetic a apărut pentru prima dată pe 8 decembrie, când FireEye a publicat un blog care detectează un atac asupra sistemelor sale. Firma ajută la managementul securității mai multor companii private mari și agenții guvernamentale federale.

CEO-ul FireEye, Kevin Mandia, a scris într-o postare pe blog spunând că compania a fost atacată de un actor de amenințări extrem de sofisticat, numind-o atac sponsorizat de stat, deși nu a numit Rusia. A spus că atacul a fost efectuat de o națiune cu capacități ofensive de top, iar atacatorul a căutat în primul rând informații legate de anumiți clienți guvernamentali. De asemenea, a spus că metodele folosite de atacatori sunt noi.

Apoi, pe 13 decembrie, FireEye a declarat că atacul cibernetic, pe care l-a numit Campaign UNC2452, nu a fost limitat la companie, ci a vizat diverse organizații publice și private din întreaga lume. Campania a început probabil în martie 2020 și este în desfășurare de luni de zile, se arată în postare. Mai rău, amploarea datelor furate sau compromise este încă necunoscută, având în vedere amploarea atacului încă în curs de descoperire. După ce sistemele au fost compromise, a avut loc mișcarea laterală și furtul de date.

Cum au fost atacate atât de multe agenții și companii guvernamentale din SUA?

Acesta este numit un atac „lanțul de aprovizionare”: în loc să atace direct guvernul federal sau rețeaua unei organizații private, hackerii vizează un furnizor terță parte, care le furnizează software. În acest caz, ținta a fost un software de management IT numit Orion, furnizat de compania SolarWinds din Texas.

Orion a fost un software dominant de la SolarWinds cu clienți, care includ peste 33.000 de companii. SolarWinds spune că 18.000 dintre clienții săi au fost afectați. De altfel, compania a șters lista de clienți de pe site-urile sale oficiale.

Potrivit paginii, care a fost, de asemenea, eliminată din Arhivele Web Google, lista include 425 de companii din Fortune 500, primii 10 operatori de telecomunicații din SUA. Un raport al New York Times a spus că părți din Pentagon, Centrele pentru Controlul și Prevenirea Bolilor, Departamentul de Stat, Departamentul de Justiție și altele, au fost toate afectate.

Microsoft a confirmat că a găsit dovezi ale malware-ului pe sistemele lor, deși a adăugat că nu există dovezi ale accesului la serviciile de producție sau la datele clienților sau că sistemele sale au fost folosite pentru a ataca pe alții. Președintele Microsoft, Brad Smith, a declarat că compania a început să notifice peste 40 de clienți că atacatorii au vizat mai precis și au compromis.

Un raport Reuters a spus că chiar și e-mailurile trimise de oficialii Departamentului pentru Securitate Internă au fost monitorizate de hackeri.

Cum au avut acces?

Potrivit FireEye, hackerii au obținut acces la victime prin actualizări troianizate ale software-ului de monitorizare și management IT al SolarWinds Orion. Practic, o actualizare de software a fost exploatată pentru a instala malware-ul „Sunburst” în Orion, care a fost apoi instalat de peste 17.000 de clienți.

FireEye spune că atacatorii s-au bazat pe mai multe tehnici pentru a evita să fie detectați și să-și ascundă activitatea. Malware-ul era capabil să acceseze fișierele de sistem. Ceea ce a funcționat în favoarea malware-ului a fost că a fost capabil să se integreze cu activitatea legitimă SolarWinds, potrivit FireEye.

Odată instalat, malware-ul a oferit hackerilor o intrare în backdoor în sistemele și rețelele clienților SolarWinds. Mai important, malware-ul a putut, de asemenea, să împiedice instrumente precum antivirusul care l-ar putea detecta.

Unde intervine Rusia?

În articolul său de opinie NYT, Bossert a numit Rusia și agenția sa SVR, care are capabilitățile de a executa atacuri de o asemenea ingeniozitate și amploare.

Microsoft notează pe blogul său că acest aspect al atacului a creat o vulnerabilitate a lanțului de aprovizionare de importanță aproape globală, ajungând în multe capitale naționale majore din afara Rusiei. Se adaugă în continuare că atacurile sofisticate din Rusia au devenit comune.

FireEye, totuși, nu a numit încă Rusia ca fiind responsabilă și a spus că este o investigație în curs cu FBI, Microsoft și alți parteneri cheie care nu sunt numiți.

valoarea netă a andrew luck

Ce au spus SolarWinds și guvernul SUA despre hack?

În acest moment, SolarWinds recomandă tuturor clienților să actualizeze imediat platforma Orion existentă, care are un patch pentru acest malware. Dacă activitatea atacatorului este descoperită într-un mediu, recomandăm efectuarea unei investigații cuprinzătoare și proiectarea și executarea unei strategii de remediere bazate pe constatările investigației și detaliile mediului afectat, se spune.

Celor care nu pot să actualizeze li se spune să izoleze serverele SolarWinds și ar trebui să includă blocarea tuturor ieșirii Internetului de pe serverele SolarWinds. Sugestia minimă este schimbarea parolelor pentru conturile care au acces la serverele/infrastructura SolarWinds.

Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) a emis o directivă de urgență 21-01, solicitând tuturor agențiilor civile federale să-și revizuiască rețelele pentru indicii de compromis. Le-a cerut să deconecteze sau să oprească imediat produsele SolarWinds Orion.

FBI, CISA și biroul directorului de informații naționale au emis o declarație comună și au anunțat ceea ce se numește „Grupul de coordonare unificată cibernetică (UCG) pentru a coordona răspunsul guvernului la criză. Declarația numește aceasta o campanie semnificativă și continuă de securitate cibernetică.

Casa Albă și președintele Donald Trump au tăcut. Senatorul Mitt Romney a rezumat-o cel mai bine în comentariile sale către jurnalistul Olivier Knox de la radio SiriusXM, unde a comparat acest atac cu echivalentul bombardierelor rusești care zboară nedetectate în toată țara, expunând slăbiciunea SUA în domeniul războiului cibernetic. El a spus că tăcerea și inacțiunea de la Casa Albă sunt de neiertat.

Senatorul Richard Blumenthal, democrat, a postat pe Twitter: Atacul cibernetic al Rusiei m-a alarmat profund, de fapt de-a dreptul speriat.

Președintele ales Joe Biden a declarat într-o declarație: O apărare bună nu este suficientă; În primul rând, trebuie să perturbăm și să descurajăm adversarii noștri să întreprindă atacuri cibernetice semnificative.

Imparte Cu Prietenii Tai: