Jak hakerzy przez wiele miesięcy infiltrowali rząd USA

11 stycznia, 2021

Czy to możliwe, aby bez niczyjej wiedzy, i to przez kilka tygodni, infiltrować agencje rządowe USA? Ile minęło czasu od pierwszego ataku na SolarWinds zanim publicznie potwierdzono włamanie z 13 grudnia 2020? Co powinny zrobić przedsiębiorstwa, które używały oprogramowania SolarWinds? Eksperci na żadne pytanie nie mają dobrych wieści. Zidentyfikowanie wszystkich celów i analiza scenariusza ataku może zająć całe miesiące, a nawet lata.

Atak na serwer uwierzytelniania aktualizacji SolarWinds

Supply chain z angielskiego oznacza łańcuch dostaw. Supply- chain attack to skomplikowany technicznie do przeprowadzenia atak, ale warty poświęconych zasobów.

W poprzednich latach w Europie doszło do podobnego cyberataku na infrastrukturę dużej firmy na Ukrainie, która dostarczała rozwiązanie IT do setek tysięcy, jak nie milionów klientów końcowych. Pisaliśmy wówczas o zagrożeniu NotPetya. W ataku najbardziej ucierpiały instytucje rosyjskie i ukraińskie: Rada Ministrów Ukrainy i Ukraiński Bank Narodowy, rosyjski bank centralny, a nawet monitoring promieniowania nieczynnej elektrowni atomowej w Czarnobylu.

Hakerzy zastosowali w USA tę samą technikę. Atakując jednego, dużego gracza, weszli do systemów innych firm, a nawet agencji rządowych Stanów Zjednoczonych. Czy podejrzewali, że na liście klientów SolarWinds, znajduje się administracja Donalda Trumpa? Nawet jeśli tak, to czy byli zaskoczeniu rozmiarem eskalacji ataku?

Nie wiadomo w jakim konkretnie dniu hakerom udało się przejąć kontrolę nad serwerem podpisującym pliki aktualizacyjne systemu Orion (wchodzi w skład całego oprogramowania SolarWinds do zarządzania infrastrukturą). Administratorzy Oriona, którzy korzystali z automatycznych aktualizacji, nieświadomie wpuścili do sieci backdoora, otwierając swoją firmę na działania hakerów. Istnieje też teoria, która mówi, że supply-chain attack nie byłby możliwy do przeprowadzenia, gdyby nie podatność w oprogramowaniu VMware Access i VMware Identity Manager.

Stało się to, co się stało. Hakerzy po pomyślnym zainstalowaniu się w systemach, mieli do nich łatwy dostęp. Decydowali wówczas, czy dana organizacja jest dla nich interesująca lub czy nie podejmować prób atak, aby nie narażać operacji na wykrycie.

Check Point o ataku supply-chain

Z naszej perspektywy, po latach prowadzenia badań nad cyberzagrożeniami, uważamy, że jest to jeden z najbardziej wyrafinowanych i poważnych ataków.

— czytamy na blogu firmy Check Point.

Potwierdzenia stanowiska Check Point należy szukać w złożoności ataku, dużej cierpliwości hakerów, precyzyjnym wybieraniu ofiar oraz wysokiej świadomości operacyjnej.

Firma SolarWinds dostarcza swoje oprogramowanie do 300000 klientów na całym świecie. Z ich rozwiązań korzystają przedsiębiorstwa i rządy, które znajdują się na liście 500 najbogatszych. Szacuje się, że cyberatak na serwery SolarWinds doprowadził do zainfekowania 18000 organizacji z całego świata. Nie wiadomo, które cele dla hakerów były najważniejsze, a które oberwały „niechcący”.

Zespoły bezpieczeństwa, administratorzy IT oraz samodzielni badacze, mogą szukać potencjalnych identyfikatorów infekcji w tych oraz tych materiałach.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]