Rosjanie najprawdopodobniej stoją za atakiem Sunburst na SolarWinds

Rosjanie najprawdopodobniej stoją za atakiem Sunburst na SolarWinds. Tak twierdzą we wspólnym oświadczeniu cztery agencje bezpieczeństwa cybernetycznego USA – FBI, NSA, CISA i ODNI.

SolarWinds i ataki hakerskie Sunburst oraz SuperNova

Ataki hakerskie na oprogramowanie SolarWinds Orion zostały wykryte pod koniec ubiegłego roku. SuperNova to pomniejszy atak, ale także skuteczny, gdyż hakerzy dostali się do systemów firmy. Sunburst natomiast dotyczył włamania do systemu aktualizacji, dzięki czemu złośliwe oprogramowanie zostało rozsiane do około 18 tys. klientów SolarWinds.

Ofiarami tego ataku padły między innymi Microsoft, FireEye, Departament Skarbu USA, Amerykańska Narodowa Administracja Telekomunikacji i Informacji (NTIA), Departament Stanu USA, National Institutes of Health (NIH), Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA), Departament Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS), Departament Energii Stanów Zjednoczonych (DOE), Amerykańska Narodowa Administracja Bezpieczeństwa Jądrowego (NNSA).

Do znalezienia w swoich sieciach złośliwego kodu przyznały się też firmy Belkin, Cisco, Intel, Nvidia i VMware.

Fachowcy zajmujący się cyberbezpieczeństwem twierdzą, że wyplenienie złośliwego oprogramowania w wielu przypadkach może zająć miesiące. Sugerują, żeby zastosować taktykę spalonej ziemi, czyli postawić nowe sieci i systemy wolne od wirusów.

Za atakami na SolarWinds stoją Rosjanie?

Cztery amerykańskie agencje bezpieczeństwa cybernetycznego – FBI, NSA, CISA i ODNI – twierdzą we wspólnym oświadczeniu, że za atakiem na SolarWinds i ich klientów stoją najprawdopodobniej hakerzy z Rosji.

„W imieniu prezydenta Trumpa pracownicy Rady Bezpieczeństwa Narodowego utworzyli grupę zadaniową znaną jako Cyber Unified Coordination Group (UCG), w skład której wchodzą FBI, CISA i ODNI przy wsparciu NSA, w celu koordynowania śledztwa i działań naprawczych związanych z tym znaczącym incydentem cybernetycznym dotykającym także federalnych sieci rządowych. UCG nadal pracuje nad zrozumieniem zakresu incydentu, ale posiada następujące informacje dotyczące prowadzonych przez siebie dochodzeń i działań łagodzących.

Prace te wskazują, że podmiot odpowiedzialny za zaawansowane trwałe zagrożenie (Advanced Persistent Threat – APT), prawdopodobnie pochodzenia rosyjskiego, jest odpowiedzialny za większość lub wszystkie ostatnio odkryte, trwające kompromisy cybernetyczne zarówno sieci rządowych, jak i pozarządowych. Obecnie uważamy, że było to i nadal jest działanie mające na celu gromadzenie danych wywiadowczych. Podejmujemy wszelkie niezbędne kroki, aby zrozumieć pełny zakres tej kampanii i odpowiednio na nią zareagować.”

To tylko tłumaczenie części oświadczenia. Jest to niejako potwierdzenie tego, co jeszcze w grudniu opisywał Washington Post. Wtedy wiązano włamanie do SolarWinds z zagrożeniem APT29, czyli grupą lub grupami hakerów powiązanych z rosyjską Służbą Wywiadu Zagranicznego (SVR).

W oświadczeniu jednak nie pada żadne konkretne wskazanie. Nie mniej samo wspomnienie o przypuszczalnych powiązaniach hakerów z Rosją może być odpowiedzią na krytykę rządu Donalda Trumpa. Chodzi o to, że miał on podobno otrzymać pomoc od rosyjskich hakerów przy wyborach prezydenckich z 2016 roku.

Dalsze konsekwencje ataku Sunburst na SolarWinds

Wiele firm i instytucji korzystających z programu Orion SolarWinds przyznało się do znalezienia złośliwego kodu w swoich systemach. W większości jednak oświadczenia wskazują, że nie wpłynęło to na utratę danych lub wypłynięcie wrażliwych informacji.

Jak się okazuje, Microsoft na swoim blogu napisał, że nie znaleźli dowodów na wyciek danych klientów i infekowania usług. Napisano jednak, że hakerzy mogli włamywać się na wewnętrzne konta firmowe. Jedno z nich służyło do przeglądania kodu źródłowego produktów Microsoftu. Podkreślono jednak, że konto to nie miało uprawnień do modyfikacji tego kodu ani żadnych systemów. Wszystkie konta zostały sprawdzone i zabezpieczone.

Okazuje się także, że w kilku przypadkach hakerzy stojący za atakiem Sunburst wprowadzili drugi etap działań, uruchamiając kod nazwany Teardrop. Te kilka przypadków to głównie agencje rządowe USA. Jak dotąd niewiele o nim wiadomo, ale gdy tylko uzyskamy więcej informacji, nie omieszkamy o tym napisać.

Źródło: CISA

Dodaj komentarz