Podmioty sponsorowane przez państwo, rzekomo pracujące dla Rosji, zwróciły się do Ministerstwa Skarbu USA, Krajowej Administracji Telekomunikacji i Informacji Departamentu Handlu (NTIA) i innych agencji rządowych o monitorowanie wewnętrznego ruchu poczty elektronicznej w ramach szeroko zakrojonej kampanii cyberprzestępczej.
Washington Post, powołując się na nienazwane źródła, powiedział, że ostatnie ataki były dziełem APT29 lub Cozy Bear, tej samej grupy hakerów, która prawdopodobnie zaaranżowała naruszenie bezpieczeństwa cybernetycznego amerykańskiej firmy FireEye kilka dni temu, co doprowadziło do kradzieży jej narzędzi do testowania penetracji Red Team.
Motyw i pełen zakres tego, co zostało narażone na szwank, pozostaje niejasny, ale sygnały są takie, że przeciwnicy manipulowali aktualizacją oprogramowania wydaną przez teksańskiego dostawcę infrastruktury informatycznej SolarWinds na początku tego roku, aby przeniknąć do systemów agencji rządowych oraz FireEye i przeprowadzić bardzo wyrafinowany supply chain attack (atak łańcucha dostaw to cyberatak, którego celem jest wyrządzenie szkody organizacji poprzez atakowanie mniej bezpiecznych elementów w sieci dostaw).
” Naruszenie bezpieczeństwa sieci SolarWinds Orion Network Management Products stanowi niedopuszczalne zagrożenie dla bezpieczeństwa sieci federalnych”, powiedział Brandon Wales, p.o. dyrektora amerykańskiej Agencji Bezpieczeństwa Cyberprzestrzeni i Infrastruktury (CISA), która opublikowała dyrektywę w sprawie sytuacji awaryjnych, wzywając federalne agencje cywilne do przeglądu ich sieci pod kątem podejrzanych działań i natychmiastowego odłączenia lub wyłączenia produktów SolarWinds Orion.
Produkty sieciowe i zabezpieczające SolarWinds są używane przez ponad 300.000 klientów na całym świecie, w tym przez firmy z listy Fortune 500, agencje rządowe i instytucje edukacyjne.
Obsługuje również największe amerykańskie firmy telekomunikacyjne, wszystkie pięć oddziałów US Military oraz inne znaczące organizacje rządowe, takie jak Pentagon, Departament Stanu, NASA, Narodowa Agencja Bezpieczeństwa (NSA), Służba Pocztowa, NOAA, Departament Sprawiedliwości oraz Biuro Prezydenta Stanów Zjednoczonych.
„Kampania mająca na celu rozpowszechnienie SUNBURST Backdoor FireEye mogła rozpocząć się już wiosną 2020 roku i obecnie trwa i jest dziełem wysoko wykwalifikowanego zespołu.
Złośliwa wersja wtyczki SolarWinds Orion, oprócz tego, że maskuje ruch sieciowy jako protokół Orion Improvement Program (OIP), podobno komunikuje się za pomocą HTTP ze zdalnymi serwerami w celu odzyskania i wykonania złośliwych poleceń („Zadania”), które obejmują całą gamę programów szpiegujących, w tym służących do przesyłania plików, ich wykonywania, profilowania i ponownego uruchamiania systemu docelowego oraz wyłączania usług systemowych.
Orion Improvement Program lub OIP jest używany głównie do zbierania danych statystycznych dotyczących wydajności i użytkowania od użytkowników SolarWinds w celu ulepszenia produktu.
Co więcej, adresy IP wykorzystywane w kampanii zostały zatarte przez serwery VPN znajdujące się w tym samym kraju co ofiara, aby uniknąć wykrycia.
Microsoft potwierdził te wyniki również w osobnej analizie, stwierdzając, że atak (który nazywa „Solorigate”) wykorzystał zaufanie związane z oprogramowaniem SolarWinds do wstawiania złośliwego kodu w ramach większej kampanii.
„Klasa złośliwego oprogramowania została włączona do wielu innych zaufanych klas, a następnie podpisana legalnym certyfikatem”, powiedział producent Windows. Powstały binarny kod zawierał backdoor i był następnie dyskretnie rozprowadzany do organizacji docelowych”.
SolarWinds udostępnia zabezpieczenia i doradza w zakresie bezpieczeństwa
W poradniku bezpieczeństwa opublikowanym przez SolarWinds, firma stwierdziła, że celem ataku są wersje 2019.4 do 2020.2.1 oprogramowania SolarWinds Orion Platform, które zostało wydane w okresie od marca do czerwca 2020 r., zalecając jednocześnie użytkownikom natychmiastową aktualizację do wersji 2020.2.1 HF 1 Platformy Orion.
Firma, która obecnie prowadzi dochodzenie w sprawie ataku we współpracy z FireEye i Federalnym Biurem Śledczym (FBI) USA, ma również opublikować 15 grudnia dodatkową poprawkę hotfix, 2020.2.1 HF 2, która zastępuje skompromitowany komponent i zapewnia kilka dodatkowych ulepszeń bezpieczeństwa.
W zeszłym tygodniu FireEye ujawnił, że padł ofiarą bardzo wyrafinowanego ataku zagranicznego rządu, który skompromitował jego narzędzia programowe używane do testowania obronności jego klientów.
Skradzione narzędzia Red Team, których jest aż 60, to połączenie narzędzi dostępnych publicznie (43%), zmodyfikowanych wersji narzędzi dostępnych publicznie (17%) oraz tych, które zostały opracowane we własnym zakresie (40%).
Ponadto, kradzież obejmuje również wykorzystanie zasobów, które wykorzystują krytyczne luki w Pulse Secure SSL VPN (CVE-2019-11510), Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) oraz Windows Remote Desktop Services (CVE-2019-0708).
Kampania ta, ostatecznie, wydaje się być atakiem na łańcuch dostaw (supply chain attack) na skalę globalną, ponieważ FireEye twierdzi, że wykryła tę działalność w kilku podmiotach na całym świecie, obejmujących firmy rządowe, konsultingowe, technologiczne, telekomunikacyjne i wydobywcze w Ameryce Północnej, Europie, Azji i na Bliskim Wschodzie.
W poradniku bezpieczeństwa opublikowanym przez SolarWinds, firma stwierdziła, że celem ataku są wersje 2019.4 do 2020.2.1 oprogramowania SolarWinds Orion Platform, które zostało wydane w okresie od marca do czerwca 2020 r., zalecając jednocześnie użytkownikom natychmiastową aktualizację do wersji 2020.2.1 HF 1 Platformy Orion.
Firma, która obecnie prowadzi dochodzenie w sprawie ataku we współpracy z FireEye i Federalnym Biurem Śledczym (FBI) USA, ma również opublikować 15 grudnia dodatkową poprawkę hotfix, 2020.2.1 HF 2, która zastępuje skompromitowany komponent i zapewnia kilka dodatkowych ulepszeń bezpieczeństwa.
W zeszłym tygodniu FireEye ujawnił, że padł ofiarą bardzo wyrafinowanego ataku zagranicznego rządu, który skompromitował jego narzędzia programowe używane do testowania obronności jego klientów.
Skradzione narzędzia Red Team, których jest aż 60, to połączenie narzędzi dostępnych publicznie (43%), zmodyfikowanych wersji narzędzi dostępnych publicznie (17%) oraz tych, które zostały opracowane we własnym zakresie (40%).
Ponadto, kradzież obejmuje również wykorzystanie zasobów, które wykorzystują krytyczne luki w Pulse Secure SSL VPN (CVE-2019-11510), Microsoft Active Directory (CVE-2020-1472), Zoho ManageEngine Desktop Central (CVE-2020-10189) oraz Windows Remote Desktop Services (CVE-2019-0708).
Kampania ta, ostatecznie, wydaje się być atakiem na łańcuch dostaw (supply chain attack) na skalę globalną, ponieważ FireEye twierdzi, że wykryła tę działalność w kilku podmiotach na całym świecie, obejmujących firmy rządowe, konsultingowe, technologiczne, telekomunikacyjne i wydobywcze w Ameryce Północnej, Europie, Azji i na Bliskim Wschodzie.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych