21 декабря 2020 г.
Внутренние системы Cisco, используемые ее группой исследования киберугроз, были атакованы через SolarWinds на фоне резко возросшей активности хакеров, направленной против ИТ-сектора, пишет Bloomberg.
Примерно два десятка компьютеров в лаборатории Cisco были скомпрометированы в результате вредоносного обновления платформы сетевого мониторинга Orion от SolarWinds, пишет Bloomberg со ссылкой на источник, знакомый с происшедшим. Компания сообщила CRN, что ее команда ИБ быстро предприняла необходимые меры для нейтрализации угроз, и на текущий момент нет никаких последствий, которые могли бы затрагивать ее продукты или услуги.
«Cisco не использует SolarWinds Orion для управления и мониторинга своей корпоративной сети, но мы выявили и устранили пострадавшее ПО на небольшом количестве внутренних систем в лаборатории и ограниченном количестве клиентских устройств сотрудников, — сообщила компания в присланном заявлении. — Мы продолжаем изучать все аспекты развития этой ситуации в первоочередном порядке».
Управление сетью и мониторинг являются ключевыми аспектами работы оборудования и программного обеспечения Cisco, непосредственно отслеживая трафик данных, проходящий через сеть, и доступ к этому потоку может дать злоумышленнику множество способов для совершения вредоносных действий, поясняет Bloomberg. На текущий момент нет никаких свидетельств, что данные клиентов могли быть скомпрометированы в ходе атаки, сообщила Cisco на запрос CRN, не указав, однако, количество пострадавших компьютеров и кто именно использует их в компании.
Cisco — уже третий вендор ИТ-отрасли, признавший, что пострадал от взлома SolarWinds за 24 часа, минувшие после аналогичных заявлений Microsoft и VMware.
В четверг вечером Reuters сообщил, что Microsoft была взломана через SolarWinds, предположительно российскими хакерами, которые затем использовали собственные продукты Microsoft для расширения фронта атаки на другие организации. Microsoft сообщила CRN в четверг, что источники агентства Reuters «неправильно информированы или неверно истолковывают информацию», но признала, что выявила «вредоносные двоичные файлы SolarWinds» в своей среде.
После этого в пятницу днем сайт KrebsOnSecurity сообщил, что уязвимость федеративной аутентификации VMware, позволяющая получить доступ к защищенным данным, была использована хакерами для атаки на критически важные организации. VMware сообщила CRN в пятницу, что не получила никаких свидетельств или указаний на то, что эта уязвимость «использовалась в ходе взлома SolarWinds».
В начале декабря была атакована FireEye, после чего жертвами взлома были названы все важнейшие федеральные органы США, в том числе Министерство обороны, Госдепартамент, Министерство финансов, Министерство внутренней безопасности и Министерство торговли США, о чем сообщили Reuters и другие.
Вопреки широко распространенной публичной информации президент Microsoft Брэд Смит (Brad Smith) заявил в четверг, что подавляющее большинство — 44% — клиентов компании, пострадавших от атаки на SolarWinds, относятся к ИТ-сектору; это поставщики ПО и оборудования, а также безопасности и ИТ-услуг.
Лишь около 18% пострадавших это государственные органы США, и еще 18% — исследовательские и аналитические центры и негосударственные организации (NGO), и 9% — государственные подрядчики, сказал Смит. Более 40 клиентов Microsoft были напрямую атакованы и скомпрометированы через SolarWinds Orion; около 80% из них это организации в США, признал он.
© 2020. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США