На прошлой неделе представители техасской компании SolarWinds, в 2020 году пострадавшей от масштабной атаки на цепочку поставок, подали документы в Комиссию по ценным бумагам и биржам США. В заявлении говорится, что на основании новой информации, появившейся в ходе расследования атаки (в частности, логов трафика DNS), стало ясно, что в результате произошедшего пострадали не 18 000 клиентов, как считалось ранее, а всего около 100.
Напомню, что взлом SolarWinds стал одной из наиболее масштабных атак на цепочку поставок в истории. В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а в начале года сообщалось, что зараженная версия платформы была установлена примерно у 18 000 клиентов. В результате этого инцидента пострадали такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп, Министерство юстиции и Национальное управление по ядерной безопасности.
Американские власти официально возложили ответственность за эту атаку на Россию. Администрация Джо Байдена заявляет, что за атакой стояла Служба внешней разведки России и ее «правительственные хакеры», известные как APT 29, Cozy Bear или The Dukes. По данным властей, они «использовали платформу SolarWinds Orion и другие ИТ-инфраструктуры в рамках широкомасштабной кибершпионской кампании».
«По нашим оценкам, фактическое количество клиентов, взломанных с помощью SUNBURST, составляет менее 100. Эта информация согласуется с оценками, предоставленными правительственными организациями США и другими исследователями, а также согласуется с предположением, что атака была таргетированной», — сообщают теперь в компании, поясняя, что злоумышленников интересовали лишь несколько избранных целей, включая крупные компании и правительственные организации.
Следователи действительно обнаружили около 18 000 загрузок вредоносной версии Orion, но многие клиенты компании так не установили эту версию. В других случаях зараженное обновление для Orion попадало в изолированные от внешнего мира сети, где малварь не могла подключиться к управляющему серверу, и атака заканчивалась, не успев начаться.
Также свежие бумаги, поданные в Комиссию по ценным бумагам и биржам, проливают свет на то, как хакеры вообще проникли в сеть SolarWinds. Следователи еще изучают этот вопрос, но возможные варианты проникновения сократили до трех основных версий:
- уязвимость нулевого дня в стороннем приложении или устройстве;
- брутфорс-атака (к примеру, password spray);
- социальная инженерия, возможно, целенаправленная фишинговая атака.
Пока в компании не знают, когда и как злоумышленники впервые получили доступ к их системам. Однако в ходе изучения инцидента обнаружились новые доказательства того, что атакующие скомпрометировали внутренние учетные данные и перемещались по сети и среде Microsoft Office 365 как минимум за девять месяцев до «тестового прогона» в октябре 2019 года. Тогда хакеры убедились, что могут внедрить вредоносный код в приложение Orion, хотя фактическая атака произошла только в марте 2020 года.
Кроме того, появилось немного больше подробностей о действиях злоумышленников.
- Хакеры создавали и перемещали файлы, содержащие исходный код Orion и продуктов сторонних производителей. Определить фактическое содержимое этих файлов не удалось.
- Злоумышленники переместили дополнительные файлы, в том числе файл, который мог содержать данные, связанные с приложением клиентского портала. Хотя в компании не смогли определить точное содержимое этих файлов, информация, входящая в БД клиентского портала, не содержит конфиденциальной информации (данные кредитных карт, номера социального страхования, паспортные данные иномера банковских счетов), зато содержит другую информацию, включая имена клиентов, адреса электронной почты, адреса для выставления счетов, зашифрованные учетные данные для входа на портал, IP-адреса для загрузки ПО, а также MAC-адреса зарегистрированных серверов Orion.
- Атакующие получили доступ к учетным записям электронной почты ряда сотрудников. Некоторые из этих ящиков содержали информацию, касающуюся нынешних или бывших сотрудников и клиентов SolarWinds. Пока следователи изучают, какая именно личная информация содержалась в скомпрометированных электронных письмах.
- Хакеры переместили файлы на jump-сервер. По всей видимости, это было сделано для облегчения «слива» файлов из среды компании.