Paaiškinta: didžiulė kibernetinė ataka JAV, naudojant naują įrankių rinkinį
Viena didžiausių kibernetinių atakų, nukreiptų prieš JAV vyriausybines agentūras ir privačias įmones, „SolarWinds įsilaužimas“ laikomas tikėtinu pasauliniu mastu. Kaip tai buvo atlikta ir kokie duomenys buvo pažeisti? Kodėl JAV vyriausybės pareigūnai ir politikai pavadino Rusiją?
Kibernetinės atakos taikinys buvo bendrovės „SolarWinds“ tiekiama programinė įranga „Orion“. („Reuters“ nuotrauka) „SolarWinds“ įsilaužimas, neseniai Jungtinėse Valstijose aptikta kibernetinė ataka, tapo viena iš didžiausias kada nors nukreiptas prieš JAV vyriausybę, jos agentūras ir keletą kitų privačių įmonių. Tiesą sakant, tai greičiausiai pasaulinė kibernetinė ataka.
Pirmą kartą ją atrado JAV kibernetinio saugumo įmonė „FireEye“, o nuo to laiko kiekvieną dieną išaiškėja vis daugiau įvykių. Vien tik kibernetinės atakos mastai nežinomi, nors manoma, kad JAV iždas, Valstybės saugumo departamentas, Prekybos departamentas ir kai kurios Pentagono dalys buvo paveiktos.
kiek verta jadakiss
In an nuomonės kūrinys parašyta už „New York Times“. , Thomas P Bossert, buvęs prezidento Donaldo Trumpo patarėju šalies saugumo klausimais, paskyrė Rusiją už išpuolį. „SolarWinds“ atakos taškuose jis parašė įrodymus Rusijos žvalgybos agentūrai, žinomai kaip SVR, kurios prekybinis amatas yra vienas pažangiausių pasaulyje. Kremlius neigė savo dalyvavimą.
Taigi, kas yra šis „SolarWinds įsilaužimas“?
Techniškai žinia apie kibernetinę ataką pirmą kartą pasirodė gruodžio 8 d., kai „FireEye“ paskelbė tinklaraštį, kuriame aptiko ataką prieš jos sistemas. Įmonė padeda valdyti kelių didelių privačių įmonių ir federalinių vyriausybinių agentūrų saugumą.
„FireEye“ generalinis direktorius Kevinas Mandia dienoraščio įraše rašė, kad kompaniją užpuolė labai sudėtingas grėsmių veikėjas, pavadinęs tai valstybės remiama ataka, nors Rusija neįvardijo. Jame teigiama, kad ataką įvykdė aukščiausio lygio puolimo pajėgumus turinti valstybė, o užpuolikas pirmiausia siekė informacijos, susijusios su tam tikrais vyriausybės klientais. Taip pat teigiama, kad užpuolikų naudojami metodai buvo nauji.
Tada gruodžio 13 d. „FireEye“ pranešė, kad kibernetinė ataka, pavadinta „Campaign UNC2452“, nebuvo skirta įmonei, o buvo nukreipta į įvairias viešąsias ir privačias organizacijas visame pasaulyje. Kampanija greičiausiai prasidėjo 2020 m. kovą ir tęsiasi kelis mėnesius, rašoma pranešime. Dar blogiau, kad pavogtų ar pažeistų duomenų mastas vis dar nežinomas, nes atakos mastas vis dar atrandamas. Po to, kai sistemos buvo pažeistos, įvyko šoninis judėjimas ir duomenų vagystės.
PRISIJUNK DABAR :„Explained Telegram“ kanalasKaip buvo užpulta tiek daug JAV vyriausybinių agentūrų ir įmonių?
Tai vadinama „tiekimo grandinės“ ataka: užuot tiesiogiai puolę federalinę vyriausybę ar privačios organizacijos tinklą, įsilaužėliai taikosi į trečiosios šalies pardavėją, kuris jiems tiekia programinę įrangą. Šiuo atveju taikinys buvo IT valdymo programinė įranga „Orion“, kurią tiekė Teksase įsikūrusi bendrovė „SolarWinds“.
„Orion“ buvo dominuojanti „SolarWinds“ programinė įranga su klientais, tarp kurių yra daugiau nei 33 000 įmonių. „SolarWinds“ teigia, kad nukentėjo 18 000 jos klientų. Beje, įmonė ištrynė klientų sąrašą iš savo oficialių svetainių.
Remiantis puslapyje, kuris taip pat buvo pašalintas iš „Google“ žiniatinklio archyvų, sąraše yra 425 įmonės, įtrauktos į „Fortune 500“ – 10 geriausių JAV telekomunikacijų operatorių. „New York Times“ ataskaitoje teigiama, kad paveikta dalis Pentagono, Ligų kontrolės ir prevencijos centrai, Valstybės departamentas, Teisingumo departamentas ir kiti.
„Microsoft“ patvirtino, kad aptiko kenkėjiškų programų įrodymų jų sistemose, nors pridūrė, kad nėra įrodymų, kad būtų galima pasiekti gamybos paslaugas ar klientų duomenis arba kad jos sistemos buvo naudojamos atakuoti kitus. „Microsoft“ prezidentas Bradas Smithas sakė, kad bendrovė pradėjo pranešti daugiau nei 40 klientų, kad užpuolikai taikėsi tiksliau ir susikompromitavo.
Reuters pranešime teigiama, kad įsilaužėliai stebėjo net Valstybės saugumo departamento pareigūnų išsiųstus el.
Kaip jie gavo prieigą?
„FireEye“ teigimu, įsilaužėliai gavo prieigą prie aukų, atnaujindami „SolarWinds“ IT stebėjimo ir valdymo programinę įrangą „Orion“. Iš esmės programinės įrangos naujinimas buvo naudojamas norint įdiegti „Sunburst“ kenkėjišką programą „Orion“, kurią vėliau įdiegė daugiau nei 17 000 klientų.
„FireEye“ teigia, kad užpuolikai rėmėsi keliomis technikomis, kad nebūtų aptikti ir užgožtų savo veiklą. Kenkėjiška programa galėjo pasiekti sistemos failus. „FireEye“ teigimu, kenkėjiškos programos nauda buvo ta, kad ji galėjo susilieti su teisėta „SolarWinds“ veikla.
Įdiegta kenkėjiška programa leido įsilaužėliams patekti į „SolarWinds“ klientų sistemas ir tinklus. Dar svarbiau, kad kenkėjiška programa taip pat galėjo sutrukdyti įrankius, tokius kaip antivirusinė programa, galinti ją aptikti.
Kur ateina Rusija?
Savo NYT nuomonės straipsnyje Bossert įvardijo Rusiją ir jos agentūrą SVR, kuri turi galimybių įvykdyti tokio išradingumo ir masto ataką.
„Microsoft“ savo tinklaraštyje pažymi, kad šis atakos aspektas sukūrė beveik pasaulinės svarbos tiekimo grandinės pažeidžiamumą, kuris pasiekė daugelį pagrindinių nacionalinių sostinių už Rusijos ribų. Toliau priduriama, kad sudėtingi Rusijos išpuoliai tapo įprasti.
Tačiau „FireEye“ dar neįvardijo Rusijos kaip atsakingos ir teigė, kad šiuo metu vyksta tyrimas su FTB, „Microsoft“ ir kitais pagrindiniais partneriais, kurie neįvardijami.
atkreipė taggart grynąją vertę
|Kaip moteris apsaugo baltymai, praleidžiantys koronavirusą
Ką apie įsilaužimą pasakė „SolarWinds“ ir JAV vyriausybė?
Šiuo metu „SolarWinds“ rekomenduoja visiems klientams nedelsiant atnaujinti esamą „Orion“ platformą, kurioje yra šios kenkėjiškos programos pataisa. Jei užpuoliko veikla aptinkama aplinkoje, rekomenduojame atlikti išsamų tyrimą ir sukurti bei įgyvendinti ištaisymo strategiją, pagrįstą tyrimo rezultatais ir paveiktos aplinkos detalėmis.
Negalintiems atnaujinti liepiama izoliuoti „SolarWinds“ serverius ir blokuoti visą interneto išėjimą iš „SolarWinds“ serverių. Minimalus pasiūlymas yra pakeisti paskyrų, turinčių prieigą prie „SolarWinds“ serverių / infrastruktūros, slaptažodžius.
JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) paskelbė nepaprastosios padėties direktyvą 21-01, kurioje prašo visų federalinių civilinių agentūrų peržiūrėti savo tinklus, ar nėra kompromisų. Ji paprašė jų nedelsiant atjungti arba išjungti „SolarWinds Orion“ produktus.
FTB, CISA ir Nacionalinės žvalgybos direktoriaus biuras paskelbė bendrą pareiškimą ir paskelbė vadinamąją „Kibernetinės vieningos koordinavimo grupę (UCG), kad koordinuotų vyriausybės atsaką į krizę. Pareiškime tai vadinama reikšminga ir besitęsiančia kibernetinio saugumo kampanija.
Baltieji rūmai ir prezidentas Donaldas Trumpas tylėjo. Senatorius Mittas Romney tai geriausiai apibendrino savo komentaruose žurnalistui Olivier Knoxui iš SiriusXM radijo, kur jis palygino šią ataką su Rusijos bombonešių, kurios nepastebimai skrenda visoje šalyje, atitikmuo, atskleidžiant JAV kibernetinio karo silpnumą. Jis sakė, kad tyla ir neveiklumas iš Baltųjų rūmų buvo nepateisinami.
Senatorius Richardas Blumenthalis, demokratas, socialiniame tinkle „Twitter“ parašė: Rusijos kibernetinė ataka mane labai sunerimo, tiesą sakant, išgąsdino.
Išrinktasis prezidentas Joe Bidenas savo pareiškime sakė: geros gynybos neužtenka; Pirmiausia turime sutrikdyti ir atgrasyti savo priešininkus nuo reikšmingų kibernetinių atakų.
Dalykitės Su Savo Draugais:
