Взлом года: на зачистку заражённых через SolarWinds организацией у США уйдут месяцы

Эксперт по кибербезопасности Стивен Адэр (Steven Adair) и его команда находились на завершающей стадии очистки сети аналитического центра от хакеров в начале этого года, когда их внимание привлекла подозрительная закономерность в данных журнала. Шпионам не только удалось взломать систему — это довольно частое явление в современном мире — но и обойти все недавно обновлённые средства защиты паролей, как будто их и не было.

Reuters / Sergio Flores

«Вау, — вспомнил свою реакцию господин Адэр во время недавнего интервью. — Эти парни умнее среднестатистического хакера». Только на прошлой неделе его Volexity из Рестона (штат Вирджиния) осознала, что боролась с теми же продвинутыми хакерами, которые взломали сеть техасской компании по разработке программного обеспечения SolarWinds и заразили множество учреждений и ведущих компаний США, в том числе работающих в области кибербезопасности.

Используя специально модифицированную версию программного обеспечения SolarWinds в качестве импровизированной отмычки, хакеры проникли в ряд правительственных сетей США, включая министерства финансов, внутренней безопасности, торговли, энергетики и так далее. Когда стало известно о взломе, Стивен Адэр сразу вспомнил аналитический центр, где его команда проследила одну из попыток взлома на сервере SolarWinds, но так и не нашла доказательств, необходимых для точного определения точки входа.

Сам господин Адэр около пяти лет помогал защищать NASA от угроз взлома, а затем основал Volexity. У него были смешанные чувства по поводу этого эпизода. С одной стороны, он был рад, что предположение его команды о подключении через SolarWinds было верным. С другой — они оказались лишь малой частью гораздо более масштабной истории.

Большая часть индустрии кибербезопасности США сейчас занимается закрытием дыр и зачисткой взломанных через SolarWinds систем. Шон Кессель (Sean Koessel), коллега Стивена Адэра, сказал, что компания принимает около 10 звонков в день от компаний, обеспокоенных тем, что они могли стать мишенью атаки или опасаются, что в их сетях наблюдается подозрительная активность.

The Wall Street Journal

Господин Кессель сказал, что их попытки закрыть хакерам доступ к аналитическому центру (имя организации он не называл) длились с конца 2019 года до середины 2020-го, и в это время произошли два новых взлома. А на выполнение подобной задачи у правительства США может уйти ещё больше времени. «Я легко могу представить, что на это уйдёт полгода или больше, а некоторые организации будут уязвимы годами», — считает Кессель.

Доцент Нью-Йоркского университета и декан-основатель Кибер-колледжа военно-воздушных сил США Пано Яннакогеоргос (Pano Yannakogeorgos) тоже предсказал длительные сроки полной ликвидации последствий взлома и добавил, что некоторые сети придётся отключить от Интернета и заново создать инфраструктуру. В любом случае, затраты на ликвидацию взлома будут большими и придётся привлекать высокооплачиваемых экспертов для изучения следов кибератак в журналах.