Историята около хакерската атака към SolarWinds започна да се разплита. Или заплита повече – което времето само може да каже.

Тези дни имаме доста нови разкрития около атаката към SolarWinds, която има потенциала да се превърне в пробива на 2020. Както ви съобщихме по-рано тази седмица, голяма IT компания с името SolarWinds алармираха за разкрита от тях атака към инфраструктурата им, като предположенията са, че началото ѝ води от месец март 2020. Неизвестна страна е получила локален достъп до един от ъпдейт сървърите на компанията, отговарящ за подаването на обновления към платформата за мониторинг на SolarWinds Orion – софтуер, който се използва от множество американски и международни компании, правителствени и държавни агенции в САЩ, федерални органи и даже от офиса на президента на САЩ. В хода на атаката е било вмъкнато обновление, съдържащо зловредна програма, която FireEye, една от компаниите, заели се с разследването на инцидента, кръщава SUNBURST. Софтуерът има различни функционалности, между които възможността за анализ и профилиране на системата, копиране на информация и изпращането ѝ към външни сървъри, рестарт на системата и др.

Браян Кребс от Krebsonsecurity предава, че Microsoft и хостинг доставчикът GoDaddy са успели да изключат един от домейните, с които зловредната програма се е свързвала за команди и изпращане на данните, но специалистите предполагат, че хакерите са успели да интегрират и други начини, по които да останат скрити в системите на пленените си жертви. Самите те пък били „по-малко“ от 18 000 по данни на SolarWinds. Това е броят на клиентите на компанията, които са свалили въпросното обновление. И не знам защо ми се струва, че използването на фразата „по-малко“ от страна на компанията идва по някакъв начин да неглижира потенциалните щети. Нужно е да се отбележи обаче, че броят на клиентите на SolarWinds е повече от 300 000.

Една от другите новини дойде вчера от страна на Reuters е плашеща немарливост от страна на екипите за защита в SolarWinds. Експерт по компютърна сигурност с името Винот Кумар се е свързал с компанията, след като е установил, че за да достигне ъпдейт сървъра на компанията е било достатъчно да се впише с парола solarwinds123. „Може да го е направил всеки, при това лесно“, коментира той. Освен това, медията предава за доклади на специалисти с достъп до даркуеб форуми, в които се е предлагал достъп до мрежите и системите на SolarWinds още преди 2017. Предполага се, че настоящия инцидент не е свързан нито със слаба парола, нито със споменатите откраднати и продавани в ъндърграунд форуми достъп до сървърите на компанията. Връзка обаче се прави с друго. Седмица преди настоящия случай, FireEye – същата компания, която участва в разследване на инцидента – признава, че са станали жертва на пробив, при който неизвестна страна задигнала хакерските инструменти на компанията, с която т.нар. „червен екип“ тества за дупки мрежите на клиентите на FireEye с цел да им осигури по-добра защита. Става дума за специализиран код за профилиране и пробив, разработен от специалисти в областта на киберзащитата с много години в опит в сферата.

По отношение на приписването на отговорност за атаката, Reuters подчертава, че и макар няколко от източниците им да заявяват, че основния заподозрян е Кремъл, то друга част от източниците им подчертават, че е прекалено рано да се говори за това. Нужно е да се отбележи, че въпросът за приписването на отговорност е един от най-спорните – особено, когато става дума за онлайн пространството и вероятната опасност да става дума за т.нар. „атака под чужд флаг“ – нещо, което едва ли би било проблем за групи с висока степен на техническа експертиза и ресурси, особено ако са подпомогнати от държавния апарат на някоя нация, какъвто се предполага, че е настоящия случай. И още три любопитни новини, свързани с атаката, които повдигат допълнително въпросителни.

Кребс цитира The Washington Post, които предават, че дни преди разгласяването на инцидента, топ инвеститори от SolarWinds са продали акции в компанията на стойност милиони долари. Скоро след съобщението за атаката, дяловете на компанията падат с над 20%. Според медията, сега се очаква да започне разследване по случая от страна на американските борсови регулатори. Другата новина е непотвърдена и идва от страна на The Blaze и други медии, които предават за слухове, че Dominion Voting Systems, машините за гласуване, използвани за изборите за президент на САЩ използват именно софтуера на SolarWinds. От компанията отрекоха официално спекулацията, че са използвали някога Orion.

„Dominion Voting Systems не използва, както в момента, така и когато и да е било платформата на SolarWinds Orion, която беше обект на директивата, издадена от страна на Вътрешна сигурност на 12.12.2020“, гласи официалното изявление на компанията в имейл до DailyDot, които определят спекулацията като явна теория на спекулацията. Известният американски журналист Ким Зеттър също коментира спекулацията, че Dominion използват Orion. Той съобщава, че циркулиращият в Интернет скрийншот е от FTP софтуер на SolarWinds (с името Serve-U), а не на Orion – компрометираната платформа на компанията.

Не е спекулация обаче друга новина, идваща от страниците на The Verge, които преди два дни споделиха, че скоро след съобщението за атаката, SolarWinds са премахнали от страницата с високопрофилните си клиенти. Медията предполага, че това им действие е било провокирано от желанието на компанията да защити репутацията им.

 

5 1 глас
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари