Никто не знает, как далеко зайдут российские хакеры
Кибератака на череду поставок обрушилась на IT-компанию SolarWinds. Теперь еще около 18 000 организаций находятся под угрозой нападения хак-группы Cozy Bear.
С марта российские хакеры страшно активизировались. Проникнув через слабые обновления в широко используемой платформе управления IТ, они смогли поразить Министерства торговли, финансов и национальной безопасности США, а также FireEye – компанию, которая специализируются на информационной безопасности. По правде говоря, никто не знает, где заканчивается ущерб. Учитывая характер нападения, буквально тысячи организаций находятся под угрозой в течение нескольких месяцев. Дальше будет только хуже.
Атаки, о которых впервые сообщил «Рейтер» в воскресенье, были, по-видимому, совершены хакерами из Службы внешней разведки РФ. Этих людей часто классифицируют как хак-группу АРТ29 или Cozy Bear. Но группа реагирования на чрезвычайные инциденты, связанные с кибербезопасностью, до сих пор пытается выяснить точное происхождение этих кибератак в рамках российского военного хакерского аппарата. Вся компрометация ведет к SolarWinds – компании, которая разрабатывает ПО для предприятий для управления сетями, системами и инфраструктурой информационных технологий. Среди клиентов SolarWinds правительство США, военные организации и большинство компаний из списка Fortune 500. В воскресенье представители SolarWinds заявили, что хакеры изменили версию Orion – инструмента для мониторинга сетей, который компания выпустила между мартом и июнем.
«Нам сообщили, что это нападение, вероятно, было совершено другим государством и должно было быть узким, крайне целенаправленным – в отличие от широкомасштабной общесистемной атаки», – пишет компания.
У SolarWinds сотни тысяч клиентов. В понедельник Комиссия по ценным бумагам и биржам США в декларации заявила, что около 18 000 компаний потенциально уязвимы из-за этого нападения.
И FireEye, и Microsoft подробно описали ход атаки. Сначала хакеры взломали механизм обновления Orion, чтобы его системы могли распространять испорченное программное обеспечение среди тысяч организаций. После этого злоумышленники могли использовать ПО Orion как бэкдор (или «тайный вход») в системах жертв. Оттуда они могут распространяться внутри целевых систем – часто путем кражи административных токенов. Наконец, после всего этого хакеры могли свободно получить доступ к данным и провести их эксфильтрацию (то есть отправить их куда-либо – это то, что мы называем «утечка данных»).