Взлом года: подробности о кибератаке на SolarWinds, список компаний-жертв Sunburst и другая информация

Взлом года: подробности о кибератаке на SolarWinds, список компаний-жертв Sunburst и другая информация

После того, как стало известно о масштабной и весьма изощрённой атаке на клиентов SolarWinds, было опубликовано множество новостей, технических подробностей и аналитических материалов о взломе. Объём информации огромен, и мы предлагаем некоторую выжимку из них.

Хотя об атаке SolarWind публика узнала только 13 декабря, первое сообщение о последствиях было сделано 8 декабря, когда ведущая компания по кибербезопасности FireEye сообщила, что была взломана группой правительственных хакеров. В рамках этой атаки злоумышленники даже украли инструменты так называемой красной команды — группы специалистов FireEye, которые проводят максимально близкие к настоящим кибератаки для проверки систем безопасности своих клиентов.

Не было известно, как хакеры получили доступ к сети FireEye вплоть до 13 декабря, когда Microsoft, FireEye, SolarWinds и правительство США выпустили скоординированный отчёт о том, что SolarWinds была взломана группой правительственных хакеров — FireEye оказалась лишь одним из клиентов SolarWinds, пострадавших в результате.

Злоумышленники получили доступ к системе сборки SolarWinds Orion и добавили бэкдор в файл SolarWinds.Orion.Core.BusinessLayer.dll. Затем эта DLL была распространена среди клиентов SolarWinds через платформу автоматического обновления. После загрузки бэкдор подключается к удалённому серверу управления и контроля в поддомене avsvmcloud[.]com, чтобы получать «задания» для исполнения на заражённом компьютере.

Взлом года: подробности о кибератаке на SolarWinds, список компаний-жертв Sunburst и другая информация

David Becker / Reuters

Неизвестно, какие задачи были выполнены, но это могло быть что угодно: от предоставления удалённого доступа злоумышленникам, загрузки и установки дополнительных вредоносных программ или кражи данных. В пятницу Microsoft опубликовала отчёт для тех, кто интересуется техническими аспектами бэкдора SunBurst.

А в отчёте Кима Зеттера (Kim Zetter), опубликованном в пятницу вечером, указывается, что злоумышленники могли выполнить пробный запуск атаки ещё в октябре 2019 года. Во время этого пробного запуска DLL распространялась без вредоносного бэкдора SunBurst. Исследователи полагают, что после того, как злоумышленники начали распространять бэкдор в марте 2020 года, они собирали данные и выполняли вредоносные действия в скомпрометированных сетях, оставаясь незамеченными в течение нескольких месяцев.

В отчёте господина Зеттера говорится, что FireEye в конечном итоге обнаружила, что они были взломаны после того, как злоумышленники зарегистрировали устройство в системе многофакторной идентификации (MFA) компании с использованием украденных учётных данных. После того, как система предупредила сотрудника и группу безопасности об этом неизвестном устройстве, FireEye поняла, что они были взломаны.

Взлом года: подробности о кибератаке на SolarWinds, список компаний-жертв Sunburst и другая информация

Атакованная цепочка клиентов SolarWinds (данные Microsoft)

FireEye в настоящее время отслеживает инициатора угрозы под кодовым именем UNC2452, а вашингтонская компания по кибербезопасности Volexity связала эту активность со злоумышленниками, которые отслеживаются под псевдонимом Dark Halo. Они координировали вредоносные кампании в период с конца 2019 года по июль 2020 года и, например, успешно взломали один и тот же аналитический центр в США три раза подряд.

«Во время первого инцидента Volexity обнаружила несколько инструментов, бэкдоров и вредоносных программ, которые позволяли злоумышленнику оставаться незамеченным в течение нескольких лет», — заявили в компании. Во второй атаке Dark Halo использовали недавно обнаруженную ошибку сервера Microsoft Exchange, которая помогла им обойти защиту многофакторной аутентификации Duo (MFA) для несанкционированного доступа к электронной почте через службу Outlook Web App (OWA). Во время третьей атаки, нацеленной на тот же аналитический центр, злоумышленник использовал SolarWinds для развёртывания бэкдора, который использовался для взлома сетей FireEye и нескольких правительственных агентств США.

Исследователи предполагают, что в ходе атаки через SolarWinds вредоносная DLL была распространена среди примерно 18 000 клиентов. Однако злоумышленники нацелены только на организации, которые, по их мнению, имеют большую ценность. В настоящее время известный список организаций, пострадавших от атаки, включает:

  • FireEye;
  • Министерство финансов США;
  • Национальное управление по телекоммуникациям и информации США (NTIA);
  • Государственный департамент США;
  • Национальные институты здоровья (NIH) (часть Министерства здравоохранения США);
  • Министерство внутренней безопасности США (DHS);
  • Министерство энергетики США (DOE);
  • Национальное управление ядерной безопасности США (NNSA);
  • Некоторые штаты США (конкретные штаты не разглашаются);
  • Microsoft;
  • Cisco.
Взлом года: подробности о кибератаке на SolarWinds, список компаний-жертв Sunburst и другая информация

Жертвы SunBurst по сектора (данные Microsoft)

Microsoft также выявила и уведомила более 40 своих клиентов, пострадавших от этой атаки, но не раскрыла их имена. Компания заявила, что 80 % жертв были из США, а 44 % относятся к высокотехнологическому сектору. Хотя Microsoft уже обнаруживала проблемы в файлах SolarWinds и предупреждала их о них, Defender не помещал их в карантин из опасений, что это может повлиять на службы управления сетью организации. С 16 декабря Defender начал помещать DLL в карантин.

Пользователям продуктов SolarWinds желательно немедленно обратиться к рекомендациям и часто задаваемым вопросам компании, поскольку они содержат необходимую информацию об обновлении до последней «чистой» версии их ПО. Microsoft также опубликовала список из девятнадцати обнаруженных на данный момент вредоносных вариантов DLL. Наконец, исследователи безопасности выпустили инструменты, которые позволяют проверить, была ли система инфицирована, а также сбросить пароль.


Влад Кулиев, Supreme2.Ru

Коды для вставки в блог\форум




Интересные новости
"Киевстар" и "Укртелеком" сделали заявления по поводу требования СБУ заблокировать Telegram-каналов"Киевстар" и "Укртелеком" сделали заявления по поводу требования СБУ заблокировать Telegram-каналов
В SolarWinds, ставшей жертвой атаки хакеров, использовали для доступа к системе пароль solarwinds123В SolarWinds, ставшей жертвой атаки хакеров, использовали для доступа к системе пароль solarwinds123
Украинский сайт Tribuna.com отделился от роSSийского Sports.ruУкраинский сайт Tribuna.com отделился от роSSийского Sports.ru
В Украине разрабатывают систему резервирования государственных информационных ресурсов на случаи кибератакВ Украине разрабатывают систему резервирования государственных информационных ресурсов на случаи кибератак
Прокуратура Киева предупредила о рассылке зараженных вирусом писемПрокуратура Киева предупредила о рассылке зараженных вирусом писем
Блок рекламы


Похожие новости

В SolarWinds, ставшей жертвой атаки хакеров, использовали для доступа к системе пароль solarwinds123В SolarWinds, ставшей жертвой атаки хакеров, использовали для доступа к системе пароль solarwinds123
В СБУ заявляют о кибератаке на сайт, подозревают РоSSиюВ СБУ заявляют о кибератаке на сайт, подозревают РоSSию
Украинская "Википедия" назвала самые популярные статьи годаУкраинская "Википедия" назвала самые популярные статьи года
Спецслужбы США обвинили РоSSию в масштабной кибератаке на правительственные структурыСпецслужбы США обвинили РоSSию в масштабной кибератаке на правительственные структуры
Минкультуры прекратило составлять список рекомендованных к запрету в Украине сайтовМинкультуры прекратило составлять список рекомендованных к запрету в Украине сайтов
Антимонопольный иск против Google американский суд рассмотрит осенью 2023 годаАнтимонопольный иск против Google американский суд рассмотрит осенью 2023 года
РоSSийские хакеры взломали Департамент внутренней безопасности США - ReutersРоSSийские хакеры взломали Департамент внутренней безопасности США - Reuters
Бывший инженер Cisco получил два года тюрьмы за удаление 16 тыс. учётных записей WebexБывший инженер Cisco получил два года тюрьмы за удаление 16 тыс. учётных записей Webex
Минцифры обещает введение электронного больничного с 2021 годаМинцифры обещает введение электронного больничного с 2021 года
С 2012 года хакеры украли более $13,6 миллиардов в криптовалютеС 2012 года хакеры украли более $13,6 миллиардов в криптовалюте
Последние новости

Подгружаем последние новости