21 декабря 2020 г.
Более 40 клиентов Microsoft были прицельно атакованы и скомпрометированы через обновления платформы сетевого мониторинга SolarWinds Orion, инфицированные троянским кодом, сообщил президент компании Брэд Смит.
Около 80% пострадавших это организации в США; остальные находятся в Канаде, Мексике, Бельгии, Испании, Великобритании, Израиле и ОАЭ, сообщает Смит в блоге в четверг. Вредоносные обновления Orion достигли организаций во многих крупных столицах за пределами России, добавил он.
«Это последнее кибернападение — по сути, атака на Соединенные Штаты, на правительство страны и на другие критически важные институты, включая фирмы кибербезопасности, — пишет Смит. — Это показывает, как ландшафт киберугроз продолжает меняться и становится еще более опасным».
В отличие от распространившейся информации, Смит сообщает, что подавляющее большинство — 44% — клиентов Microsoft, пострадавших от взлома SolarWinds, относятся к ИТ-сектору: это поставщики ПО и оборудования, а также фирмы кибербезопасности и ИТ-услуг, — об этом свидетельствует телеметрия, которую приносит собственный антивирус Microsoft Defender, выявляющий клиентов, установивших инфицированные обновления Orion.
Около 18% пострадавших клиентов компании это государственные органы США, еще 18% — исследовательские и аналитические центры и негосударственные организации (NGO), и 9% — государственные подрядчики, пишет Смит.
Фирма анализа киберугроз Volexity сообщила в понедельник, что для первичного взлома ее сети был использован обход многофакторной аутентификации Duo в веб-приложении Outlook. Сама Duo утверждает, что атака, как ее описывает Volexity, не была вызвана уязвимостью в созданных ею продуктах.
«Как ни печально, эта атака представляет собой широкомасштабное и успешное нападение с целью шпионажа, нацеленное на конфиденциальную информацию правительства Соединенных Штатов и на средства, используемые фирмами для своей защиты», — пишет Смит.
Большинство жертв взлома SolarWinds, о которых известно на текущий момент, это федеральные органы США, в том числе Министерство обороны, Госдепартамент, Министерство финансов, Министерство внутренней безопасности и Министерство торговли. В частном секторе пострадали только FireEye и Microsoft — последняя была названа агентством Reuters в четверг, при этом утверждалось также, что собственные продукты Microsoft были затем использованы хакерами, оплаченными российским государством, для расширения фронта атак на другие организации. Microsoft заявила на запрос CRN в четверг, что источники Reuters «неправильно информированы или неверно истолковывают информацию», однако признала, что выявила «вредоносные двоичные файлы SolarWinds» в своей среде.
Смит подчеркивает, что взлом SolarWinds это не просто атака на конкретные организации, а атака на доверие и надежность критически важной инфраструктуры во всем мире. Эта глобальная кампания преследует интересы разведывательной службы одной страны, указывает он.
«Это уже не „шпионаж как обычно“, даже в наш цифровой век, — пишет Смит. — Это акт безрассудства, который создал серьезную угрозу для Соединенных Штатов и всего мира».
The Washington Post сообщила, что за этой глобальной кампанией шпионажа стоят хакеры, связанные с российской разведслужбой, — эта группа известна под названием APT29. Атаки ведутся уже несколько месяцев и могут представлять собой столь же значительную операцию, как взломы Госдепартамента и Белого дома при Администрации Обамы, о которых также писали, что это дело рук APT29.
Судя по всему, хакеры ведут сбор информации из среды взломанных организаций, указывает Агентство кибербезопасности и инфраструктурной безопасности США (CISA), сообщая, что в ходе мер реагирования специалисты Агентства наблюдали, что злоумышленники нацелены на учетные записи электронной почты, принадлежащие ключевому персоналу, прежде всего ИТ-служб и групп реагирования на ИБ-инциденты.
© 2020. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США