За прошедшие праздники появилось немало новых деталей, касающихся взлома компании SolarWinds, чья недавняя компрометация привела к серьезным последствиям. Напомню, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности. Информацию об этой масштабной компрометации, которую многие назвали взломом года, мы собрали в одном материале.
Взлом Минюста
В первых числах января представители Министерства юстиции США подтвердили, что Минюст тоже пострадал от взлома SolarWinds. Хуже того, ведомство стало одной из немногих жертв, в сети которой хакеры продолжили развивать атаку и в итоге получили доступу к внутренним почтовым ящикам.
«На данный момент известно, что количество потенциально доступных почтовых ящиков O365 (Microsoft Office 365) было ограничено примерно 3%, и у нас нет никаких свидетельств того, что атака затронула какие-либо секретные системы», — гласит официальный пресс-релиз.
Исходя из того, что штат сотрудников Министерства юстиции оценивается примерно в 100 000 - 115 000 человек, число пострадавших составляет от 3 000 до 3450 человек.
Сообщается, что в настоящее время бэкдор преступников уже обезврежен.
Во взломе обвиняют Россию
Также в начале января совместное заявление выпустили Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ), Агентство по кибербезопасности и защите инфраструктуры (CISA) и Управление директора национальной разведки (ODNI). Правоохранительные органы заявили, что за компрометаций SolarWinds и ее клиентов, скорее всего, стояла Россия.
Официальные лица говорят, что за этой масштабной атакой на цепочку поставок стоит неназванная APT-группировка «вероятно российского происхождения». Сам взлом SolarWinds чиновники охарактеризовали как «попытку сбора разведданных».
В сущности, совместное заявление агентств повторило информацию, опубликованную изданием Washington Post в декабре прошлого года. Тогда журналисты, со ссылкой на собственные источники, писали, что связывают атаку с известной русскоязычной хак‑группой APT29 (она же Cozy Bear и Dukes), которая, как считают эксперты, действует под эгидой российских властей.
При этом нужно сказать, что специалисты компаний FireEye и Microsoft, изучившие инцидент досконально, не сообщали ничего о возможной атрибуции атаки. Вместо этого FireEye присвоила группировке нейтральное кодовое имя UNC2452 и заявила, что атака не была нацелена конкретно на США.
Подозрения пали на JetBrains
Издания New York Times и Wall Street Journal опубликовали сообщения, в которых утверждалось, что компания JetBrains находится под следствием из-за возможного участия во взломе компании SolarWinds.
Журналисты, со ссылкой на собственные правительственные источники, писали, что официальные лица США рассматривают сценарий, в ходе которого российские хакеры могли взломать JetBrains, а затем предпринять атаки на ее клиентов, одним из которых является SolarWinds. В частности, исследователи считают, что хакеры могли нацеливаться на продукт TeamCity.
В ответ на это глава JetBrains Максим Шафиров опубликовал пост в блоге компании, в котором рассказал, что в JetBrains никто не знает о якобы ведущемся в отношении компании расследовании, и представители SolarWinds не связывались с JetBrains и не сообщали никаких подробностей об инциденте. Хотя пострадавшая компания действительно использует решение TeamCity.
«Важно подчеркнуть, что TeamCity — сложный продукт, требующий правильной настройки. Если TeamCity каким-то образом был использован в процессе [взлома], это вполне могло быть связано с неправильной конфигурацией, а не с конкретной уязвимостью, — говорит Шафиров. — По этому поводу с нами не связывалось какое-либо правительство или агентство безопасности, и нам неизвестно, что ведется какое-то расследование. Если такое расследование действительно будет проведено, власти могут рассчитывать на наше полное сотрудничество».
