Взломанный сервер обновлений SolarWinds
На Хабре уже несколько раз упоминали уникальный взлом компании SolarWinds. В популярный корпоративный софт SolarWinds Orion для мониторинга сетей (используется в армии, министерстве обороны, АНБ, IRS, почти всех компаниях списка Fortune 500) внедрили бэкдор, который так хорошо замаксирован, что многие удивлялись, как его вообще обнаружили, пусть и через полгода работы. Говорят, владельцы бэкдора воспользовались им всего несколько десятков раз, хотя под их контролем была фактически вся компьютерная инфраструктура США.
Сейчас всплывают подробности, как неизвестным удалось провернуть операцию по внедрению трояна в файлы обновления SolarWinds с валидной цифровой подписью. Эти подробности иногда забавные.
Например, специалисты выражают сомнение, что инфраструктура SolarWinds была должным образом защищена. В прошлом году компанию уличили в том, что на доступ к серверу обновлений установлен пароль solarwinds123.
Российские хакеры подозреваются в проведении атаки на Министерство финансов США, Национальное управление по телекоммуникациям и информации (NTIA) и ряд других учреждений. Компания по кибербезопасности FireEye, которая обнаружила атаку, сообщает, что под угрозой могут находиться множество государственных и частных организаций по всему миру, однако пока не называет виновных.
Как следует из отчета FireEye, злоумышленники взломали производителя ПО SolarWinds и внедрили вредоносное обновление в программу Orion, которая используется многими организациями по всему миру. При загрузке обновления злоумышленники получили доступ к сетям клиентов SolarWinds. Взлом SolarWinds подтвердили аналитики Microsoft, следы атаки обнаружили специалисты компании в воскресенье. Кроме того, от атаки пострадала и компания FireEye.
Вероятно, взлому подверглись и другие правительственные учреждения США. Среди клиентов SolarWinds значатся крупные частные компании из списка Fortune 500, несколько основных поставщиков телекоммуникационных услуг США, все подразделения вооруженных сил США, Агентство национальной безопасности США, госдепартамент и офис президента. Атака затрагивает обновления, выпущенные в период с марта по июнь этого года.
Всё техническое сообщество до сих обсуждает масштабную хакерскую операцию, вероятно, организованной Россией.
В центре внимания - SolarWinds, ИТ-компания стоимостью более 5 миллиардов долларов, которая управляет сетевой инфраструктурой для всех:
Более 425 компаний из списка Fortune 500 США
Все десять из десяти крупнейших телекоммуникационных компаний США
Все пять ветвей армии США
Пентагон США, Государственный департамент, НАСА, АНБ, Почтовая служба, НУОА, Министерство юстиции и канцелярия президента США.
Все пять из пяти ведущих бухгалтерских фирм США
Сотни университетов и колледжей по всему миру
По словам источников издания Washington Post, ответственность за атаки лежит на группировке APT29, часто связываемой с российскими спецслужбами. Однако специалисты FireEye не стали упоминать APT29, а дали киберпреступникам нейтральное кодовое название UNC2452. Тем не менее, несколько источников из ИБ-сообщества подтвердили изданию ZDNet, что, судя по имеющимся доказательствам, за атаками действительно стоит APT29.
О том, что хакеры, действующие при поддержке правительства иностранного государства, получили доступ к системе Министерства финансов США и Национального управления по телекоммуникациям и информации (структура Министерства торговли), стало известно в воскресенье, 13 декабря. Агентство Reuters, ссылаясь на источники, сообщало, что хакеры также получили доступ к внутренним коммуникациям Министерства внутренней безопасности США. Как писала газета The Washington Post, за кибератаками стоит хакерская группа APT29, или Cozy Bear, работающая на российскую Службу внешней разведки.
Как правило, Orion используется в крупных сетях для отслеживания всех ИТ-ресурсов, таких как серверы, рабочие станции, мобильные телефоны и IoT-девайсы.
Orion версий 2019.4-2020.2.1, выпущенных в период с марта 2020 года по июнь 2020, оказался заражен малварью SUNBURST (она же Solorigate). Детальные отчеты об этой угрозе уже выпустили Microsoft, FireEye и Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA).
Известно, что среди 300 000 клиентов компании только 33 000 использовали Orion, и всех их уже уведомили о случившемся. При этом, по данным SolarWinds, зараженная версия платформы Orion была установлена у 18 000 клиентов.
Злоумышленники получили доступ к системе сборки SolarWinds Orion и добавили бэкдор в файл SolarWinds.Orion.Core.BusinessLayer.dll. Затем эта DLL была распространена среди клиентов SolarWinds через платформу автоматического обновления. После загрузки бэкдор подключается к удалённому серверу управления и контроля в поддомене avsvmcloud[.]com, чтобы получать «задания» для исполнения на заражённом компьютере.
The Wall Street Journal сообщает, что около двух десятков компаний пользуются Orion, в их числе: Nvidia, Intel, Cisco и Belkin. Согласно отчету, взломанное программное обеспечение предоставило хакерам «потенциальный доступ к очень важным корпоративным и личным данным».
Сейчас всплывают подробности, как неизвестным удалось провернуть операцию по внедрению трояна в файлы обновления SolarWinds с валидной цифровой подписью. Эти подробности иногда забавные.
Например, специалисты выражают сомнение, что инфраструктура SolarWinds была должным образом защищена. В прошлом году компанию уличили в том, что на доступ к серверу обновлений установлен пароль solarwinds123.
Российские хакеры подозреваются в проведении атаки на Министерство финансов США, Национальное управление по телекоммуникациям и информации (NTIA) и ряд других учреждений. Компания по кибербезопасности FireEye, которая обнаружила атаку, сообщает, что под угрозой могут находиться множество государственных и частных организаций по всему миру, однако пока не называет виновных.
Как следует из отчета FireEye, злоумышленники взломали производителя ПО SolarWinds и внедрили вредоносное обновление в программу Orion, которая используется многими организациями по всему миру. При загрузке обновления злоумышленники получили доступ к сетям клиентов SolarWinds. Взлом SolarWinds подтвердили аналитики Microsoft, следы атаки обнаружили специалисты компании в воскресенье. Кроме того, от атаки пострадала и компания FireEye.
Вероятно, взлому подверглись и другие правительственные учреждения США. Среди клиентов SolarWinds значатся крупные частные компании из списка Fortune 500, несколько основных поставщиков телекоммуникационных услуг США, все подразделения вооруженных сил США, Агентство национальной безопасности США, госдепартамент и офис президента. Атака затрагивает обновления, выпущенные в период с марта по июнь этого года.
Всё техническое сообщество до сих обсуждает масштабную хакерскую операцию, вероятно, организованной Россией.
В центре внимания - SolarWinds, ИТ-компания стоимостью более 5 миллиардов долларов, которая управляет сетевой инфраструктурой для всех:
Более 425 компаний из списка Fortune 500 США
Все десять из десяти крупнейших телекоммуникационных компаний США
Все пять ветвей армии США
Пентагон США, Государственный департамент, НАСА, АНБ, Почтовая служба, НУОА, Министерство юстиции и канцелярия президента США.
Все пять из пяти ведущих бухгалтерских фирм США
Сотни университетов и колледжей по всему миру
По словам источников издания Washington Post, ответственность за атаки лежит на группировке APT29, часто связываемой с российскими спецслужбами. Однако специалисты FireEye не стали упоминать APT29, а дали киберпреступникам нейтральное кодовое название UNC2452. Тем не менее, несколько источников из ИБ-сообщества подтвердили изданию ZDNet, что, судя по имеющимся доказательствам, за атаками действительно стоит APT29.
О том, что хакеры, действующие при поддержке правительства иностранного государства, получили доступ к системе Министерства финансов США и Национального управления по телекоммуникациям и информации (структура Министерства торговли), стало известно в воскресенье, 13 декабря. Агентство Reuters, ссылаясь на источники, сообщало, что хакеры также получили доступ к внутренним коммуникациям Министерства внутренней безопасности США. Как писала газета The Washington Post, за кибератаками стоит хакерская группа APT29, или Cozy Bear, работающая на российскую Службу внешней разведки.
Как правило, Orion используется в крупных сетях для отслеживания всех ИТ-ресурсов, таких как серверы, рабочие станции, мобильные телефоны и IoT-девайсы.
Orion версий 2019.4-2020.2.1, выпущенных в период с марта 2020 года по июнь 2020, оказался заражен малварью SUNBURST (она же Solorigate). Детальные отчеты об этой угрозе уже выпустили Microsoft, FireEye и Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA).
Известно, что среди 300 000 клиентов компании только 33 000 использовали Orion, и всех их уже уведомили о случившемся. При этом, по данным SolarWinds, зараженная версия платформы Orion была установлена у 18 000 клиентов.
Злоумышленники получили доступ к системе сборки SolarWinds Orion и добавили бэкдор в файл SolarWinds.Orion.Core.BusinessLayer.dll. Затем эта DLL была распространена среди клиентов SolarWinds через платформу автоматического обновления. После загрузки бэкдор подключается к удалённому серверу управления и контроля в поддомене avsvmcloud[.]com, чтобы получать «задания» для исполнения на заражённом компьютере.
The Wall Street Journal сообщает, что около двух десятков компаний пользуются Orion, в их числе: Nvidia, Intel, Cisco и Belkin. Согласно отчету, взломанное программное обеспечение предоставило хакерам «потенциальный доступ к очень важным корпоративным и личным данным».