По-рано този месец, FireEye, американска компания за сигурност, обслужваща големи корпорации и правителствени организации в САЩ обявиха официално, че са станали жертва на хакерска атака, при която са били откраднати специализирани инструменти, с които специалистите от т.нар. „Червен екип“ в компанията тества защитите на своите клиенти. А в края на миналата седмица, Reuters предаде за осъществена сложна атака към мрежите на друга известна IT компания, доставяща различни услуги, в това число и компютърна сигурност и мониторинг. Става дума за SolarWinds, компания, която предоставя услугите си на 425 от компаниите от списъка Forbes 500, десетте най-големи телекомуникационни компании в САЩ, американските военни, НАСА, Агенцията за национална сигурност на САЩ (АНС), Държавния департамент на САЩ, Министерството на правосъдието на САЩ, офиса на американския президент и др.

Въпросната атака, за която вече признаха и SolarWinds е сложна, продължителна и се предполага, че хакерите, осъществили пробива са подпомогнати от чужда държава. Неизвестна засега страна е успяла да осъществи атака към линията за доставка на SolarWinds, вмъквайки зловреден файл в стандартния цикъл на обновяване на платформата за мониторинг на компанията с името Orion. По този начин, всеки клиент на софтуера е атакуван, но известните са все още малко. Reuters предава за осъществена атака към Министерството на финансите на САЩ и това на търговията и по-точно Националната телекомуникационна и информационна администрация на САЩ. Тези атаки са провокирали през почивните дни свикването на спешна среща на Националния съвет за сигурност на САЩ.

От SolarWinds обясняват, че уязвимостта е била представена между май и юни тази година. „Вярваме, че тази уязвимост е резултат от сложна, целенасочена и неавтоматизирана атака към линията за доставка от страна на национална държава. Работим съвместно с FireEye, Федералното бюро за разследване (ФБР), разузнавателната общност и други силови агенции, за да разследваме случая. В този смисъл, ние сме ограничени по отношение на това, което може да споделим към този момент“, споделя изпълнителният директор на SolarWinds Кевин Томпсън, цитиран от The Register.

FireEye публикуват и предварителен анализ на инцидента, като идентифицират конкретен .DLL файл, който се явява заплахата. Той е дигитално подписан, играе ролята на троянски кон за организацията в чиито системи е интегриран и се свързва по HTTP с външни сървъри. Веднъж попаднал в системата, той е неактивен в продължение на две седмици, след което започва да изпълнява команди, които отговарят за изпълнението на файлове, профилиране на системата, деактивирането на системни услуги, трансфер на данни и рестарт на машината. Зловредната програма се прикрива, като стандартен процес на Orion, а засичането му се усложнява допълнително от високите степени на обфускация, с които е прикрит кода му и защита срещу анализ и детекция от много от популярните инструменти за защита и антивирусен анализ. FireEye разкриват, че са регистрирали активност свързан с програмата в много страни по целия свят.

„Сред жертвите се откриват правителства, телекомуникационни, технологични, консултантски и друг тип компании от Северна Америка, Азия Европа и Близкия изток“, пишат в анализа си FireEye.

Очаквайте подробности по случая в следващите седмици.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
3 Коментара
стари
нови оценка
Отзиви
Всички коментари