Hakerzy wspierani przez rosyjski rząd podobno włamali się do agencji rządowych USA.
APT29
The Washington Post poinformował, że ta sama grupa hakerska rosyjskiego rządu odpowiedzialna za naruszenie bezpieczeństwa w FireEye naruszyła także systemy Departamentu Skarbu i Handlu oraz inne agencje rządowe Stanów Zjednoczonych. Grupa, znana jako APT29 lub Przytulny Niedźwiedź, była – według The Washington Post - odpowiedzialna za włamanie do Departamentu Stanu USA i Białego Domu podczas administracji Obamy. Jest to też grupa, która zdaniem urzędników dała się poznać Amerykanom od jak najgorszej strony już tego lata. Uważa się bowiem, że niejaki Cozy Bear, znany również właśnie jako APT29, jest odpowiedzialny za próby pozyskania wyników badań nad szczepionkami COVID-19.
Szerokie spektrum ataków
Reuters poinformował, że oprócz włamań do Departamentu Handlu i National Telecommunications and Information Administration (NTIA) hakerzy mogli włamać się do innych jednostek rządowych USA. Urzędnicy rządowi uznali to włamanie za na tyle ważne, że konieczne było odbycie nadzwyczajnego posiedzenia Rady Bezpieczeństwa Narodowego. Miało to miejsce w sobotę w Białym Domu.
Rzecznik National Security Council powiedział Reuterowi, że rząd „był świadomy” powagi faktów stwierdzonych w raportach, dodając, że „podejmujemy wszelkie niezbędne kroki”, aby naprawić sytuację. Nie jest jeszcze jasne, jakie informacje mogły zostać skradzione lub który zagraniczny rząd był w to zamieszany. Jednak wiemy już teraz, że „wysoce wyrafinowani” hakerzy byli w stanie włamać się do oprogramowania Microsoft Office NTIA, oszukując mechanizmy uwierzytelniania. To pozwoliło im na monitorowanie e-maili pracowników przez całe miesiące, przynajmniej według doniesień agencji Reuters.
Reakcja twórców oprogramowania
Microsoft opublikował szczegóły dotyczące metod wykorzystanych podczas włamania późnym wieczorem w niedzielę. Microsoft twierdzi, że hakerzy działający w imieniu zewnętrznego państwa naruszyli oprogramowanie do monitorowania i zarządzania Orion firmy SolarWinds, dając atakującym przyczółek w docelowych sieciach. Intruzi byli wtedy w stanie podszywać się pod dowolnego istniejącego użytkownika i konta organizacji, w tym konta wysoce uprzywilejowane.
Sprawdź oferty pracy na TeamQuest
Zarówno Microsoft, jak i SolarWinds udostępniają klientom środki zaradcze, które pomagają wykryć zagrożenie, chronić zasoby sieciowe i reagować w adekwatny sposób.
Kilka federalnych organów ścigania, w tym FBI, prowadzi też dochodzenie w sprawie naruszenia.
Backdoor na SolarWindows
Deweloperzy a przede wszystkim administratorzy pracujący z wykorzystaniem oprogramowania SolarWinds (zarządzenie i zdalny minotoring sieci) powinni się tym newsem zainteresować nieco bliżej. Niewykloczone, że sprawa ma bowiem związek z atakiem na FireEye, czyli na jedną z największych firm zajmujących się cyberbezpieczeństwem. Atak został wykonany przez pobranie aktualizacji SolarWinds ze wstrzykniętym backdoorem.
FireEye, który śledzi trwającą kampanię włamań pod pseudonimem „UNC2452”, potwierdził już, że atak na łańcuch dostaw wykorzystuje trojanizowane aktualizacje oprogramowania biznesowego SolarWinds Orion w celu dystrybucji backdoora o nazwie SUNBURST.
Ta kampania mogła rozpocząć się już wiosną 2020 roku i jest obecnie w toku, stwierdziła firma FireEye w niedzielnej analizie. Kampania jest dziełem wysoce wykwalifikowanych osób a operacja została przeprowadzona przy zapewnieniu dużego bezpieczeństwa operacyjnego.