Ogromna kampania, która naraziła na szwank twórcę oprogramowania SolarWinds, była również skierowana przeciwko Microsoftowi. Dochodzenie w sprawie ataku hakerów ujawniło, że incydent mógł mieć znacznie szerszy zakres, złożoność i wpływ niż wcześniej sądzono.
Producent systemu Windows zaprzeczył, że podmiot stanowiący zagrożenie przeniknął do jego systemów produkcyjnych, aby przeprowadzić dalsze ataki na klientów.
Microsoft oświadczył:
„Podobnie jak inni klienci SolarWinds, aktywnie szukamy oznak tego zdarzenia i możemy potwierdzić, że wykryliśmy w naszym środowisku złośliwe pliki źródłowe SolarWinds, które wyizolowaliśmy i usunęliśmy. Nie znaleźliśmy dowodów, że hakerzy uzyskali dostęp do serwisów produkcyjnych lub danych klientów. Prowadzone przez nas dochodzenia nie wykazały absolutnie żadnych oznak, że nasze systemy były wykorzystywane do atakowania innych”.
Prezes Microsoft Brad Smith oświadczył, że powiadomiono o incydencie ponad 40 klientów z Belgii, Kanady, Izraela, Meksyku, Hiszpanii, Zjednoczonych Emiratów Arabskich, Wielkiej Brytanii i Stanów Zjednoczonych, którzy zostali zaatakowani przez hakerów. 44% ofiar należy do sektora informatycznego, w tym firm zajmujących się oprogramowaniem, usługami informatycznymi i dostawami sprzętu.
Microsoft, FireEye i GoDaddy Tworzą Killswitcha.
W ciągu ostatnich kilku dni Microsoft, FireEye i GoDaddy przejęli kontrolę nad jedną z głównych domen GoDaddy – avsvmcloud[.]com – która była używana przez hakerów do komunikacji z zagrożonymi systemami, rekonfigurując ją tak, aby uniemożliwić malware’owi SUNBURST dalsze działanie w systemach ofiar.
Ze swojej strony SolarWinds nie ujawniło jeszcze, w jaki sposób dokładnie udało się napastnikowi uzyskać aż tak rozległy dostęp do jego systemów, aby móc wprowadzić złośliwe oprogramowanie do legalnych aktualizacji oprogramowania firmy.
Najnowsze dowody wskazują jednak na naruszenie procedur rozwoju oprogramowania. Szacuje się, że około 18 000 klientów firmy Orion pobrało aktualizacje zawierające back door’a.
Uważa się, że hacki te są dziełem APT29, rosyjskiej grupy przestępczej znanej również jako Cozy Bear, która w ciągu ostatniego roku była związana z serią naruszeń krytycznej infrastruktury USA.
Ostatnia seria włamań skłoniła również CISA, Federalne Biuro Śledcze USA (FBI) oraz Biuro Dyrektora Wywiadu Narodowego (ODNI) do wydania wspólnego oświadczenia, w którym stwierdzono, że agencje gromadzą dane wywiadowcze w celu ustalenia, ścigania i rozbijania podmiotów odpowiedzialnych za zagrożenia.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot