Разследващите това, което може съвсем спокойно да бъде определено като най-големия киберпробив не само през тази година, а през последните няколко въобще – атаката към мрежата на SolarWinds – откриха втора заплаха, с която е била атакувана компанията. Supernova, каквото име са ѝ дали специалистите, не е свързана по някакъв начин с оригиналната атака, която е обект на проучването им.

По-рано този месец ви съобщихме за откритието на SolarWinds, американска софтуерна компания, че е станала жертва на изключително разрушаващ пробив, при който неизвестна страна е получила достъп до линията за доставка на компанията, поставила е зловредна програма в сървърите за обновление и на сайта на SolarWinds, представяйки го като обновление за Orion, популярен софтуер за мониторинг и административно обслужване. По думите на самата компания, зловредната програма засегнала „по-малко от 18 000“ от техните клиенти. Кавичките не са случайни. Да сложиш „по-малко“, когато сред тези клиенти фигурират почти всички компании от списъка на Fortune 500, Белият дом, Агенцията за национална сигурност на САЩ, най-големите комуникационни компании в страната, големи юридически и счетводни компании, бизнеси и международни и чужди организации и институции, не е лгоично. Междувременно, SolarWinds премахнаха своевременно списъка си с клиенти от страницата на компанията (но Интернет помни) – каквато и да е конкретната причина за това. И една друга… подробност, станала ясно по-късно. Властите започват да разследват обвинения в търгуване с вътрешна информация, след като стана ясно, че високопоставени служители на SolarWinds са се освободили от сериозни количества акции малко преди официалното съобщение за пробива. Както се казва, това да им е проблема в момента. Самият пробив се предполага, че е осъществен през пролетта на тази година. Като откритието му не идва след съобщение от страна на официалните власти или самите SolarWinds.

Отново през декември, FireEye, компания, специализирала се в разследването на високопрофилни атаки и дейността на днешните APT (advanced persistent threat) групи – или. т.нар. „ведомствени хакери“ (основно тези на Кремъл, но и не само) установява, че са станали жертва на хакерска атака. Неизвестна страна е компрометирала мрежата на компанията и е отмъкнала хакерския инструментариум на т.нар. „Червен екип“ на FireEye – това е отделът в компанията, който отговаря за тестването на мрежите и системите на клиентите на FireEye за възможни уязвимости и дупки, през които може да се влезе. Въпросните програми им дават по-добра видимост над възможните вектори за атака към техните клиенти и с това им помага да обезпечат защитата им по-адекватно. Но каквото и да си говорим си остават хакерски инструменти – подобни биха използвали и киберпрестъпници, разликата е в мотива за използването им. Компанията започва разследване, при което провежда одит на мрежата си. Този одит води до откриването на внесена уязвимост в Orion – зловредна динамична библиотека, съдържаща код, който те наричат Sunburst. Скоро след това от Белия дом обявяват, че мрежите на две американски министерства са хакнати и разкриват мащаба на атаката. Междувременно, още в началото за виновник за акцията е посочена Москва. Дали става дума за геополитика или нещо друго, не е известно. Това, което е известно е, че въпросът за приписването на отговорност за действия в киберпространството е доста… деликатен и бързото приписване на такава повдига въпроси. В същото време, FireEye е компания, която се е специализирала в разследването на киберхрътките на Кремъл и има дълги опит в разследване на действията им, не назовава никъде конкретно името на Русия нито по отношение на атаката към тях (но заявяват, че това е държава с извънредни ресурси и умения), нито към SolarWinds. Правят го от Белия дом, но не и отиващият си американски президент Доналд Тръмп. Официално Русия отрича участие в атаките. А сега се оказва, че и друга група от хакери са атакували мрежата на SolarWinds.

Специалистите от Palo Alto Network и техни колеги откриват зловредна програма, която те наричат Supernova и експлойт за уязвимост, използван в тази втора атака, която според тях няма отношение към тази със Sunburst. Supernova представлява .NET уебшел, изпълняван от паметта, който позволява на атакуващата страна да осъществи преглед над съдържанието в мрежата и по-нататъшно разпространение, заедно с други действия. В началото разследващите смятат, че тази програма се е използвала съвместно със Sunburst. Но сега, специалистите от Microsoft, Palo Alto Networks, FireEye и техните колеги, мислят различно.

Supernova атакува също Orion, но чрез експлоатирането на уязвимост, към която не са регистрирани досега атаки. CVE-2020-10148 представлява проблем, който ако бъде успешно експлоатиран може да доведе до компрометиране на механизма за удостоверяване пред мрежата. Това от своя страна може да позволи изпълнението на произволни API команди. Въпросната уязвимост вече е запушена от SolarWinds. „Supernova не е зловреден модул, който е вграден в нашата платформа Orion, за да изпълнява атака към линията за доставки. Това е зловредна програма, отделно поставена на сървър, която осъществява неразрешен достъп до клиентската мрежа и е изготвен така, че да прилича на част от продукт на SolarWinds“, съобщават от самата компания. За разлика от случая със Sunburst, тук не се приписва отговорност за тази атака на конкретен агент или страна. Що се отнася до последните жертви на атаката, то това са компанията за сигурност CrowdStrike, които засекли опит за атака към имейл инфраструктурата им чрез услуги на Microsoft. Редмъндският технологичен гигант не е единствената голяма американска IT компания, засегната от пробива към SolarWinds. Cisco и VMware също са сред засегнатите.

4 4 гласа
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари