В интервью CBSNews президент Microsoft Брэд Смит (Brad Smith) заявил, что недавняя атака на SolarWinds была «самой крупной и самой изощренной, которую он когда-либо видел». По его словам, анализ взлома, проведенный специалистами компании, позволяет предположить, что над этой атакой работали более 1000 разработчиков. При этом Смит говорит, что злоумышленники переписали всего 4032 строки коде в Orion, который содержит миллионы строк кода.
Напомню, что в декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов. В результате среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
Смит рассказал, что над анализом этого инцидента работают более 500 инженеров Microsoft, однако на стороне злоумышленников «трудилось» куда больше специалистов:
«Когда мы проанализировали всё, что обнаружили в Microsoft, мы спросили себя, сколько инженеров могли работать над этими атаками? Полученный нами ответ: ну, явно больше тысячи».
Так как атаку приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity), Смит также сравнил взлом SolarWinds с атаками на Украину, которые часто приписывают России (хотя власти РФ отрицают свою причастность).
Глава компании FireEye Кевин Мандиа (Kevin Mandia) тоже пообщался с журналистами и рассказал о случившемся. Как оказалось, в FireEye компрометацию обнаружили практически случайно. Дело в том, что для удаленного входа в VPN компании сотрудникам нужен код двухфакторной аутентификации, и их аккаунты привязаны к номерам телефонов. В службе безопасности FireEye случайно заметили, что один из работников привязал к своей учетной записи два номера телефона. Когда этому человеку позвонили и поинтересовались, действительно ли у него два номера или устройства, тот ответил, что не делал ничего подобного. Оказалось, второй номер привязали к учетной записи злоумышленники.