Как мы уже рассказывали ранее, недавно стало известно о масштабной атаке на цепочку поставок, от которой пострадала компания SolarWinds и ее клиенты, среди которых были Министерство финансов США, Национальная администрация по информатике и телекоммуникациям при Министерстве торговли США, а также ИБ-компания FireEye.

Как теперь сообщает Forbes, так как SolarWinds является крупным подрядчиком правительства США, среди постоянных клиентов компании также числятся: Киберкомандование США, Министерство обороны, Федеральное бюро расследований, Министерство внутренней безопасности и многие другие. Впрочем, по информации Reuters, невзирая на огромную клиентскую базу палтформы Orion, злоумышленники, похоже, сосредоточили свои атаки на небольшом количестве важных целей, а большинство простых клиентов не трогали.

Представители SolarWinds уже признали факт взлома платформы Orion, предназначенной для централизованного мониторинга и управления. Как правило, Orion используется в крупных сетях для отслеживания всех ИТ-ресурсов, таких как серверы, рабочие станции, мобильные телефоны и IoT-девайсы.

В настоящее время подтверждено, что версии 2019.4-2020.2.1, выпущенные в период с марта 2020 года по июнь 2020 года, были заражены малварью. Разработчики уже начали выпускать патчи, а также подчеркивают, что другие продукции компании компрометации не подверглись. Собственные индикаторы компрометации и инструкции по работе с зараженными системами также выпустили  MicrosoftFireEye и Агентство по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA).

Теперь представители SolarWinds подали бумаги в Комиссию по ценным бумагам и биржам США, как предписывает закон в таких случаях. Благодаря этим документам стало известно, что среди 300 000 клиентов компании только 33 000 использовали Orion, и всех их уже уведомили о случившемся. При этом, по данным SolarWinds, зараженная версия платформы Orion и вовсе была установлена лишь у 18 000 клиентов.

Хотя официально SolarWinds пока не сообщала, как именно хакеры сумели проникнуть в ее сеть, в упомянутых выше документах сказано, что от специалистов Microsoft компания также узнала о компрометации учетных записей почты и офисных приложений Office 365. Известно, что в настоящее время SolarWinds расследует случившееся и разбирается, могли ли злоумышленники использовать этот доступ для кражи информации клиентов.

Напомню, что источники издания Washington Post связали эту атаку с русскоязычной хак-группой APT29  (она же Cozy Bear и Dukes), которая, как считают эксперты, действует под эгидой российских властей. Впрочем, специалисты компании FireEye не сообщили ничего о возможной атрибуции атак, вместо этого компания присвоила группировке нейтральное кодовое имя UNC2452. Более того, в компании считают, что эта атака не была нацелена конкретно на США, а «среди пострадавших были государственные, консалтинговые, технологические, телекоммуникационные и добывающие компании в Северной Америке, Европе, Азии и на Ближнем Востоке».

На эти обвинения уже отреагировало Посольство России в США, заявив, что «нападения в информационном пространстве противоречат внешнеполитическим принципам нашей страны, её национальным интересам и пониманию того, как выстраиваются отношения между государствами. Россия не проводит “наступательных” операций в виртуальной среде».

Оставить мнение