Ха­керы ата­кова­ли ком­панию SolarWinds и зарази­ли ее плат­форму Orion мал­варью. Мно­гие уже называ­ют слу­чив­шееся самой мас­штаб­ной ата­кой года, в которой, конеч­но, подоз­рева­ют рос­сий­ских пра­витель­ствен­ных хакеров. Сре­ди пос­тра­дав­ших чис­лятся такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности. Одна­ко «спис­ки жертв» попол­няют­ся каж­дый день, а экспер­ты делят­ся все новыми деталя­ми слу­чив­шегося. В этом матери­але мы соб­рали все, что извес­тно о взло­ме SolarWinds на сегод­няшний день.
 

Атаку заметили

В середи­не декаб­ря 2020 года круп­ные запад­ные СМИ, вклю­чая Reuters, Washington Post и Wall Street Journal, неожи­дан­но сооб­щили, что аме­рикан­ские влас­ти ста­ли жер­твой мас­штаб­ной ата­ки пра­витель­ствен­ных хакеров. Жур­налис­ты писали, что в резуль­тате инци­ден­та были ском­про­мети­рова­ны как минимум Минис­терс­тво финан­сов США и Наци­ональ­ная адми­нис­тра­ция по информа­тике и телеком­муника­циям при Минис­терс­тве тор­говли США.

Га­зета Washington Post ссы­лалась на собс­твен­ные источни­ки, сог­ласно которым от атак пос­тра­дали и мно­гие дру­гие пра­витель­ствен­ные учрежде­ния в США (это ока­залось прав­дой, но под­робнее чуть ниже). Агентство Reuters, в свою оче­редь, писало, что инци­дент был приз­нан нас­толь­ко серь­езным, что в Белом доме соз­вали экс­трен­ное заседа­ние Совета наци­ональ­ной безопас­ности США.

Вско­ре пос­ле этих пуб­ликаций собс­твен­ный от­чет о про­изо­шед­шем обна­родо­вали пред­ста­вите­ли ИБ‑ком­пании FireEye и тем самым толь­ко под­лили мас­ла в огонь. Дело в том, что сама FireEye тоже ока­залась в чис­ле пос­тра­дав­ших и, мож­но ска­зать, иссле­дова­тели изу­чали слу­чив­шееся «изнутри».

Из отче­та FireEye ста­ло понят­но, что неиз­вес­тные зло­умыш­ленни­ки доволь­но дав­но ском­про­мети­рова­ли ИТ‑ком­панию SolarWinds, которая раз­рабаты­вает для пред­при­ятий ПО, помога­ющее управлять их сетями, сис­темами и инфраструк­турой. Про­ник­нув в сеть SolarWinds, зло­умыш­ленни­ки снаб­дили плат­форму Orion, пред­назна­чен­ную для цен­тра­лизо­ван­ного монито­рин­га и управле­ния, вре­донос­ным обновле­нием. В резуль­тате мно­жес­тво кли­ентов SolarWinds уста­нови­ли заражен­ную вер­сию плат­формы и, сами того не зная, впус­тили хакеров в свои сети.

Ском­про­мети­рован­ными офи­циаль­но приз­наны вер­сии 2019.4 HF 5, 2020.2 (без исправ­ления) и 2020.2 HF 1.

Де­ло осложни­лось тем, что в спи­сок кли­ентов SolarWinds вхо­дят более 400 круп­ней­ших аме­рикан­ских ком­паний из спис­ка Fortune 500, а так­же мно­гие пра­витель­ствен­ные учрежде­ния, бан­ки, медицин­ские заведе­ния и более мел­кие биз­несы.

 

Как взломали?

Офи­циаль­ные пред­ста­вите­ли SolarWinds пока не сде­лали post mortem отчет об инци­ден­те (для это­го еще слиш­ком рано), поэто­му точ­но неиз­вес­тно, как имен­но хакеры сумели про­ник­нуть в сеть ком­пании. Одна­ко пос­ле того, как об ата­ке ста­ло широко извес­тно, мно­гие СМИ обра­тили вни­мание на заяв­ления ИБ‑иссле­дова­теля Винота Кумара (Vinoth Kumar), который утвер­ждал, буд­то учет­ные дан­ные от сер­вера обновле­ний SolarWinds еще в 2018 году были сво­бод­но дос­тупны в офи­циаль­ном репози­тории ком­пании на GitHub. По сло­вам Кумара, он заметил эту утеч­ку в нояб­ре, а пароль от сер­вера был эле­мен­тарным: solarwinds123.

Ку­мар писал, что, исполь­зуя эти учет­ные дан­ные, он сумел заг­рузить файл на сер­вер ком­пании и тем самым доказал, что сис­тема небезо­пас­на, о чем и уве­домил SolarWinds еще в нояб­ре 2020 года. В ито­ге утеч­ку устра­нили 22 нояб­ря.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Оставить мнение