Jak hakerzy przez wiele miesięcy infiltrowali rząd USA

11 01 2021

Czy to możliwe, aby bez niczyjej wiedzy, i to przez kilka tygodni, infiltrować agencje rządowe USA? Ile minęło czasu od pierwszego ataku na SolarWinds zanim publicznie potwierdzono włamanie z 13 grudnia 2020? Co powinny zrobić przedsiębiorstwa, które używały oprogramowania SolarWinds? Eksperci na żadne pytanie nie mają dobrych wieści. Zidentyfikowanie wszystkich celów i analiza scenariusza ataku może zająć całe miesiące, a nawet lata.

Atak na serwer uwierzytelniania aktualizacji SolarWinds

Supply chain z angielskiego oznacza łańcuch dostaw. Supply- chain attack to skomplikowany technicznie do przeprowadzenia atak, ale warty poświęconych zasobów.

W poprzednich latach w Europie doszło do podobnego cyberataku na infrastrukturę dużej firmy na Ukrainie, która dostarczała rozwiązanie IT do setek tysięcy, jak nie milionów klientów końcowych. Pisaliśmy wówczas o zagrożeniu NotPetya. W ataku najbardziej ucierpiały instytucje rosyjskie i ukraińskie: Rada Ministrów Ukrainy i Ukraiński Bank Narodowy, rosyjski bank centralny, a nawet monitoring promieniowania nieczynnej elektrowni atomowej w Czarnobylu.

Hakerzy zastosowali w USA tę samą technikę. Atakując jednego, dużego gracza, weszli do systemów innych firm, a nawet agencji rządowych Stanów Zjednoczonych. Czy podejrzewali, że na liście klientów SolarWinds, znajduje się administracja Donalda Trumpa? Nawet jeśli tak, to czy byli zaskoczeniu rozmiarem eskalacji ataku?

Nie wiadomo w jakim konkretnie dniu hakerom udało się przejąć kontrolę nad serwerem podpisującym pliki aktualizacyjne systemu Orion (wchodzi w skład całego oprogramowania SolarWinds do zarządzania infrastrukturą). Administratorzy Oriona, którzy korzystali z automatycznych aktualizacji, nieświadomie wpuścili do sieci backdoora, otwierając swoją firmę na działania hakerów. Istnieje też teoria, która mówi, że supply-chain attack nie byłby możliwy do przeprowadzenia, gdyby nie podatność w oprogramowaniu VMware Access i VMware Identity Manager.

Stało się to, co się stało. Hakerzy po pomyślnym zainstalowaniu się w systemach, mieli do nich łatwy dostęp. Decydowali wówczas, czy dana organizacja jest dla nich interesująca lub czy nie podejmować prób atak, aby nie narażać operacji na wykrycie.

Check Point o ataku supply-chain

Z naszej perspektywy, po latach prowadzenia badań nad cyberzagrożeniami, uważamy, że jest to jeden z najbardziej wyrafinowanych i poważnych ataków.

— czytamy na blogu firmy Check Point.

Potwierdzenia stanowiska Check Point należy szukać w złożoności ataku, dużej cierpliwości hakerów, precyzyjnym wybieraniu ofiar oraz wysokiej świadomości operacyjnej.

Firma SolarWinds dostarcza swoje oprogramowanie do 300000 klientów na całym świecie. Z ich rozwiązań korzystają przedsiębiorstwa i rządy, które znajdują się na liście 500 najbogatszych. Szacuje się, że cyberatak na serwery SolarWinds doprowadził do zainfekowania 18000 organizacji z całego świata. Nie wiadomo, które cele dla hakerów były najważniejsze, a które oberwały „niechcący”.

Zespoły bezpieczeństwa, administratorzy IT oraz samodzielni badacze, mogą szukać potencjalnych identyfikatorów infekcji w tych oraz tych materiałach.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

RAPORT
Cyberbezpieczeństwo
Trendy 2021

Już dostępny!
raport

Dlaczego korzystamy z dHosting?

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

RAPORT
Cyberbezpieczeństwo:
Trendy 2021

Już dostępny!

Dlaczego korzystamy
z dHosting?

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone