На прошлой неделе представители техасской компании SolarWinds, в 2020 году пострадавшей от масштабной атаки на цепочку поставок, подали документы в Комиссию по ценным бумагам и биржам США. В заявлении говорится, что на основании новой информации, появившейся в ходе расследования атаки (в частности, логов трафика DNS), стало ясно, что в результате произошедшего пострадали не 18 000 клиентов, как считалось ранее, а всего около 100.

Напомню, что взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в истории. В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию  и зарази­ли ее платформу Orion мал­варью. Сог­ласно офи­циаль­ным дан­ным, среди 300 000 кли­ентов SolarWinds толь­ко 33 000 исполь­зовали Orion, а в начале года сообщалось, что заражен­ная вер­сия платформы была уста­нов­лена при­мер­но у 18 000 кли­ентов. В результате этого инцидента пос­тра­дали такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп,  Министерство юстиции и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.

Американские власти официально возложили ответственность за эту атаку на Россию. Администрация Джо Байдена заявляет, что за атакой стояла Служба внешней разведки России и ее «правительственные хакеры», известные как APT 29, Cozy Bear или The Dukes. По данным властей, они «использовали платформу SolarWinds Orion и другие ИТ-инфраструктуры в рамках широкомасштабной кибершпионской кампании».

«По нашим оценкам, фактическое количество клиентов, взломанных с помощью SUNBURST, составляет менее 100. Эта информация согласуется с оценками, предоставленными правительственными организациями США и другими исследователями, а также согласуется с предположением, что атака была таргетированной», — сообщают теперь в компании, поясняя, что злоумышленников интересовали лишь несколько избранных целей, включая крупные компании и правительственные организации.

Следователи действительно обнаружили около 18 000 загрузок вредоносной версии Orion, но многие клиенты компании так не установили эту версию. В других случаях зараженное обновление для Orion попадало в изолированные от внешнего мира сети, где малварь не могла подключиться к управляющему серверу, и атака заканчивалась, не успев начаться.

Также свежие бумаги, поданные в Комиссию по ценным бумагам и биржам, проливают свет на то, как хакеры вообще проникли в сеть SolarWinds. Следователи еще изучают этот вопрос, но возможные варианты проникновения сократили до трех основных версий:

  • уязвимость нулевого дня в стороннем приложении или устройстве;
  • брутфорс-атака (к примеру,  password spray);
  • социальная инженерия, возможно, целенаправленная фишинговая атака.

Пока в компании не знают, когда и как злоумышленники впервые получили доступ к их системам. Однако в ходе изучения инцидента обнаружились новые доказательства того, что атакующие скомпрометировали внутренние учетные данные и перемещались по сети и среде Microsoft Office 365 как минимум за девять месяцев до «тестового прогона» в октябре 2019 года. Тогда хакеры убедились, что могут внедрить вредоносный код в приложение Orion, хотя фактическая атака произошла только в марте 2020 года.

Кроме того, появилось немного больше подробностей о действиях злоумышленников.

  • Хакеры создавали и перемещали файлы, содержащие исходный код Orion и продуктов сторонних производителей. Определить фактическое содержимое этих файлов не удалось.
  • Злоумышленники переместили дополнительные файлы, в том числе файл, который мог содержать данные, связанные с приложением клиентского портала. Хотя в компании не смогли определить точное содержимое этих файлов, информация, входящая в БД клиентского портала, не содержит конфиденциальной информации (данные кредитных карт, номера социального страхования, паспортные данные иномера банковских счетов), зато содержит другую информацию, включая имена клиентов, адреса электронной почты, адреса для выставления счетов, зашифрованные учетные данные для входа на портал, IP-адреса для загрузки ПО, а также MAC-адреса зарегистрированных серверов Orion.
  • Атакующие получили доступ к учетным записям электронной почты ряда сотрудников. Некоторые из этих ящиков содержали информацию, касающуюся нынешних или бывших сотрудников и клиентов SolarWinds. Пока следователи изучают, какая именно личная информация содержалась в скомпрометированных электронных письмах.
  • Хакеры переместили файлы на jump-сервер. По всей видимости, это было сделано для облегчения «слива» файлов из среды компании.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии