Ponad 1000 programistów brało udział w ataku związanym z SolarWinds

Dochodzenie firmy Microsoft ujawniło, że w ataku na SolarWinds brało udział ponad 1000 programistów – hakerów.

Hakerski atak, w którym wykorzystano oprogramowanie firmy SolarWinds, określany jest najbardziej wyrafinowanym i największym w historii. O jego przygotowanie podejrzewani są cyberprzestępcy z Rosji.

Ofiarami padło kilkanaście tysięcy firm i instytucji. Niektóre mocno ucierpiały i nie usuną śladów po szkodliwym kodzie zbyt szybko. Fachowcy twierdzą, że najlepszym wyjściem dla wielu z nich jest taktyka spalonej ziemi.

Dochodzenie firmy Microsoft

Prezes Microsoftu Brad Lee Smith powiedział, że analiza oprogramowania SolarWinds wykazała, że kod był dziełem tysiąca lub więcej programistów.

Przemawiając w amerykańskim programie 60 minut, Smith określił atak jako „największy i najbardziej wyrafinowany atak, jaki kiedykolwiek widział świat”.

“From a software engineering perspective….this is the largest and most sophisticated attack the world has ever seen,” says Microsoft president Brad Smith about the Russian hack of 18,000 government and private computer networks that began last March. https://t.co/CsWeFKl7Uk pic.twitter.com/s4sbmkmr6G

— 60 Minutes (@60Minutes) February 15, 2021

„Kiedy przeanalizowaliśmy wszystko, co widzieliśmy w firmie Microsoft, zadaliśmy sobie pytanie, ilu programistów prawdopodobnie pracowało nad tymi atakami? Odpowiedź, którą otrzymaliśmy, brzmiała: z pewnością było to ponad 1000 programistów!”.

Smith porównał atak na SolarWinds do ataków na Ukrainę, które powszechnie przypisywano Rosji.

W programie 60 minut pojawił się również dyrektor generalny FireEye, Kevin Mandia. Firma FireEye również używała oprogramowania SolarWinds i doświadczyła walki ze złośliwym kodem.

“It takes a very special skill set to reverse engineer a whole platform that’s written by bad guys to never be found,” says Kevin Mandia, who runs FireEye, the cybersecurity company that first detected the Russian hack of 18,000 computer networks in 2020. https://t.co/Rz0Q4z2SsQ pic.twitter.com/H8J0DuoQl5

— 60 Minutes (@60Minutes) February 15, 2021

Kevin Mandia wyjaśnił, że zaniepokoiło ich wykorzystanie różnych numerów telefonów pracownika podczas uwierzytelniania dwuskładnikowego.

„Pracownik FireEye logował się, ale różnica polegała na tym, że nasi pracownicy ochrony spojrzeli na login i zauważyli, że osoba ta miała dwa telefony zarejestrowane na swoje nazwisko. Dlatego nasz pracownik ochrony zadzwonił do tej osoby i zapytał: „Hej, czy faktycznie zarejestrowałeś drugie urządzenie w naszej sieci?” A pracownik powiedział: „Nie. To nie byłem ja”.”

Te poszlaki doprowadziły do tego, że przeprowadzono dochodzenie w FireEye i potem w SolarWinds. Tak odkryto, że winnym jest oprogramowanie Orion. Powiedziano także, że dojście do wykrycia złośliwego kodu było bardzo trudne, gdyż całość musiała być niesamowicie dobrze zaplanowana przez hakerów i przygotowywana przez bardzo długi czas.

Źródło: Reuters