Yucatech

Небольшое дополнение к "Cервисы Google не работают по всему миру". США выпустили экстренное предупреждение после того, как обнаружили, что хакеры взломали программное обеспечение, используемое почти всеми компаниями из списка Fortune 500 (в том числе Alphabet Inc - владелец Google) и несколькими федеральными агентствами, чтобы получить доступ к защищенным ИТ-системам. Взломали платформу SolarWinds Orion, которая используется для удаленного администрирования ИТ-систем.

Последствия от взлома пока непредсказуемы, заявили несколько человек, знакомых с делом. «Это выглядит очень и очень плохо», - сказал один чиновник. Продукцию SolarWinds используют более 300 000 организаций по всему миру . В их число входят все пять подразделений вооруженных сил США, Пентагон, Государственный департамент, Министерство юстиции, НАСА, Администрация президента и Агентство национальной безопасности, самое передовое в мире агентство электронной разведки. Платформу также используют 10 крупнейших телекоммуникационных компаний США.

Пока достоверно известно, что взломщикам удалось получить доступ к системе Министерства финансов и Национального управления по телекоммуникациям. По остальным федеральным агентствам информации пока нет и их отключили от платформы до особого распоряжения.

Дело выглядит настолько серьезным, что в субботу было созвано экстренное заседание Совета национальной безопасности США, сообщает Reuters.

«Правительство Соединенных Штатов осведомлено об этих сообщениях, и мы предпринимаем все необходимые шаги для выявления и устранения любых возможных проблем, связанных с этой ситуацией», - сказал официальный представитель Совета национальной безопасности Джон Уллит. Инструментарий мониторинга SolarWinds имеет чрезвычайно глубокий «административный» доступ к основным функциям сети, а это означает, что взлом инструмента позволит беспрепятственно проникать в системы жертв.

Вчера же рано утром FireEye выпустила отчет о выявленной масштабной кибероперации, проводимой с помощью бэкдора, получившего название SUNBURST.

Хакеры осуществили ранее атаку на цепочку поставок - взломали американского поставщика IT-продуктов SolarWinds и внедрили SUNBURST в легальный установщик ПО Orion (это система управления сетью - NMS). По оценкам FireEye, дата компрометации компании - март-май 2020 года.

В дальнейшем, проникая в сеть клиента SolarWinds, хакеры расширяли свое присутствие и осуществляли сбор и эксфильтрацию внутренней информации. Для этого они использовали как находящиеся в открытом доступе инструменты, такие как "не malware" Cobalt Strike, так и авторские вредоносы, например, не встречавшийся ранее дроппер TEARDROP.

Использовавшееся вредоносное ПО снабжено набором функций для противодействия обнаружению:

- после попадания внутрь атакованной сети, SUNBURST выжидает от 12 до 14 дней прежде чем начать свою активность;

- вредонос проверяет процессы в системе присутствия по черному списку и блокирует те из них, которые соответствуют сервисам мониторинга и антивирусным продуктам;

- вредоносный трафик маскируется под протокол Orion Improvement Program, который используется легальным ПО от SolarWinds.

FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру - в Северной Америке, Европе, Азии. При этом целями являются не только государственные организации, но и компании в различных отраслях народного хозяйства - консалтинг, телеком, технологии, добывающие и пр.

Хакерскую группу, стоящую за этой атакой FireEye обозначают как UNC2452 и не проводят ее атрибуцию с уже известными APT. Тем не менее, журналисты со ссылкой на некие источники, уже поспешили связать атаки на американские Минфин и Минторговли c SUNBURST, а UNC2452 приравнять к APT 29 aka Cozy Bear.