Несмотря на попытки SolarWinds приуменьшить масштабы инцидента, его последствия могут быть намного хуже, чем ожидается.
В заявлении , внесенном в Комиссию по ценным бумагам и биржам США (SEC), производитель ПО SolarWinds попытался приуменьшить влияние недавней кибератаки на свои системы.
Напомним, в воскресенье, 13 декабря, SolarWinds сообщил о том, что стал жертвой кибератаки. Хакеры, работающие на правительство неизвестной страны, взломали его сети и внедрили вредоносное ПО в обновления для программной платформы Orion, использующейся для управления и мониторинга IT-ресурсов. Согласно уведомлению производителя, вредоносное ПО было внедрено в версии Orion от 2019.4 до 2020.2.1, выпущенные марте-июне 2020 года.
Модифицированные версии прошивки позволяли хакерам развертывать дополнительные вредоносные программы в сетях клиентов SolarWinds. В частности, таким образом были взломаны ИБ-компания FireEye , Министерство финансов США и Управление телекоммуникаций и информации (NTIA) Министерства торговли США. Предполагается, что взлом Министерства внутренней безопасности США, о котором стало известно в понедельник, 14 декабря, также является частью данной вредоносной кампании.
Хотя изначально считалось, что инцидент мог затронуть всех клиентов SolarWinds, согласно поданному в SEC заявлению, масштабы инцидента намного меньше. Из 300 тыс. клиентов компании только 33 тыс. пользуются платформой Orion, а вредоносные обновления установили лишь 18 тыс. Производитель уведомил о случившемся всех пользователей Orion (даже тех, кто не установил вредоносные обновления) и предоставил соответствующие рекомендации.
15 декабря SolarWinds должен выпустить обновление для платформы, содержащее код для удаления с систем пользователей каких-либо следов вредоносного ПО.
Хотя производитель и рассказал, как вредоносное ПО попало на системы его клиентов, каким образом хакерам удалось взломать его собственные системы, SolarWinds не сообщает. Однако, как сообщается в поданном в SEC заявлении, ему стало известно от Microsoft о взломе его учетных записей Office 365. В настоящее время SolarWinds выясняет, воспользовались ли хакеры доступом к электронной почте с целью похищения информации клиентов. Связан ли взлом учетных записей Office 365 с внедрением вредоносной прошивки, компания не уточняет.
Однако, несмотря на попытки SolarWinds приуменьшить масштабы инцидента, его последствия могут быть намного хуже, чем ожидается. Как сообщает Forbes, компания является главным подрядчиком правительства США. В частности, ПО от SolarWinds используют Агентство кибербезопасности и безопасности инфраструктуры (CISA), Киберкомандование, Министерство обороны, ФБР, Министерство внутренней безопасности и пр.
По данным Reuters, несмотря на большое количество пользователей Orion, хакеры нацелились только на ограниченную группу наиболее ценных мишеней. Так, многие системные администраторы обнаружили на своих системах вредоносные обновления для платформы, но без каких-либо признаков развертывания дополнительного вредоносного ПО.
Первое — находим постоянно, второе — ждем вас