Nowości

Federalni ostrzegają, że hakerzy SolarWinds prawdopodobnie używali innych sposobów włamywania się do sieci

Pień fotografia świecącego czerwonego światła awaryjnego

Atak na łańcuch dostaw wykorzystany do włamania się do agencji federalnych i co najmniej jednej prywatnej firmy stanowi „poważne ryzyko” dla Stanów Zjednoczonych, po części dlatego, że atakujący prawdopodobnie użyli środków innych niż tylne drzwi SolarWinds, aby spenetrować sieci interesów, powiedzieli w czwartek urzędnicy federalni .

„Ten przeciwnik wykazał się zdolnością do wykorzystywania łańcuchów dostaw oprogramowania i wykazał się znaczną znajomością sieci Windows” – napisali w alercie urzędnicy z agencji ds. Infrastruktury i bezpieczeństwa cyberbezpieczeństwa. „Jest prawdopodobne, że przeciwnik ma dodatkowe wektory wstępnego dostępu oraz taktyki, techniki i procedury (TTP), które nie zostały jeszcze odkryte”. CISA, jako agencja jest w skrócie, jest ramieniem Departamentu Bezpieczeństwa Wewnętrznego.

W innym miejscu urzędnicy napisali: „CISA ustaliło, że zagrożenie to stanowi poważne zagrożenie dla rządu federalnego i stanowego, władz lokalnych, plemiennych i terytorialnych, a także podmiotów infrastruktury krytycznej i innych organizacji sektora prywatnego”.

Atakujący, o których CISA powiedział, że rozpoczęli operację nie później niż w marcu, zdołali pozostać niewykrytymi do zeszłego tygodnia, kiedy firma bezpieczeństwa FireEye poinformowała, że ​​hakerzy wspierani przez państwo narodowe wniknęli głęboko do jej sieci. Na początku tego tygodnia FireEye powiedział, że hakerzy infekowali cele za pomocą Oriona, szeroko używanego narzędzia do zarządzania siecią firmy SolarWinds. Po przejęciu kontroli nad mechanizmem aktualizacji Oriona, atakujący używali go do instalowania backdoora, który badacze FireEye nazywają Sunburst. W niedzielę wiele serwisów informacyjnych, powołując się na anonimowe osoby, donosiło, że hakerzy wykorzystali backdoor w Orionie do włamania się do sieci należących do Departamentów Handlu, Skarbu i prawdopodobnie innych agencji. Później do listy dodano Departament Bezpieczeństwa Wewnętrznego i Narodowe Instytuty Zdrowia.

Ponura ocena

Czwartkowy alert CISA dostarczył niezwykle ponurej oceny włamania, zagrożenia, jakie stwarza dla agencji rządowych na szczeblu krajowym, stanowym i lokalnym, a także umiejętności, wytrwałości i czasu potrzebnego do wyrzucenia napastników z sieci, do których przedostali się przez miesiące niewykryte.

„Ten aktor APT wykazał się cierpliwością, bezpieczeństwem operacyjnym i złożonym rzemiosłem w tych włamaniach” – napisali urzędnicy w czwartkowym ostrzeżeniu. „CISA spodziewa się, że usunięcie tego aktora będącego zagrożeniem z zagrożonych środowisk będzie bardzo złożone i trudne dla organizacji”.

Urzędnicy przedstawili następną ponurą ocenę: „CISA ma dowody na istnienie dodatkowych wektorów wstępnego dostępu, innych niż platforma SolarWinds Orion; jednak są one nadal badane. CISA zaktualizuje ten alert, gdy pojawią się nowe informacje ”.

W poradniku nie podano, jakie mogą być dodatkowe wektory, ale urzędnicy zwrócili uwagę na umiejętności wymagane do zainfekowania platformy oprogramowania SolarWinds, dystrybucji backdoorów do 18 000 klientów, a następnie pozostania niewykrywanymi w zainfekowanych sieciach przez miesiące.

„Ten przeciwnik wykazał się zdolnością do wykorzystywania łańcuchów dostaw oprogramowania i wykazał się znaczną znajomością sieci Windows” – napisali. „Jest prawdopodobne, że przeciwnik ma dodatkowe wektory wstępnego dostępu oraz taktyki, techniki i procedury (TTP), które nie zostały jeszcze odkryte”.

Wśród wielu agencji federalnych, które korzystały z SolarWinds Orion, podobno była Międzynarodowa Służba Skarbowa. W czwartek członek rankingu Komisji Finansów Senatu Ron Wyden (D-Ore.) I przewodniczący Komisji Finansów Senatu Chuck Grassley (R-Iowa) wysłali list do komisarza IRS Chucka Rettiga z prośbą o dostarczenie informacji na temat tego, czy dane podatników zostały naruszone.

Oni napisali:

Wydaje się, że IRS był klientem SolarWinds dopiero w 2017 r. Biorąc pod uwagę wyjątkową wrażliwość osobistych informacji o podatnikach powierzonych IRS oraz szkody zarówno dla prywatności Amerykanów, jak i dla naszego bezpieczeństwa narodowego, które mogą wynikać z kradzieży i wykorzystywania tych informacji danych przez naszych przeciwników, konieczne jest, abyśmy zrozumieli, w jakim stopniu IRS mogło zostać naruszone. Bardzo ważne jest również, abyśmy zrozumieli, jakie działania podejmuje IRS, aby złagodzić potencjalne szkody, upewnić się, że hakerzy nie mają nadal dostępu do wewnętrznych systemów IRS i zapobiec przyszłym włamaniom do danych podatników.

Przedstawiciele IRS nie od razu oddzwonili z prośbą o komentarz do tego postu.

Alert CISA stwierdził, że kluczowe wnioski z dotychczasowego dochodzenia to:

  • To cierpliwy, dysponujący odpowiednimi środkami i skoncentrowany przeciwnik, który przez długi czas był aktywny w sieciach ofiar.
  • Kompromis w łańcuchu dostaw SolarWinds Orion jest nie jedyny początkowy wektor infekcji, który wykorzystał ten aktor APT.
  • Nie wszystkie organizacje, które dostały backdoora za pośrednictwem SolarWinds Orion, zostały skierowane przez przeciwnika w następnych działaniach.
  • Organizacje, w których podejrzewa się naruszenie bezpieczeństwa, muszą być bardzo świadome bezpieczeństwa operacyjnego, w tym podczas angażowania się w działania związane z reagowaniem na incydenty oraz planowania i wdrażania planów naprawczych.

Jak dotąd okazało się, że jest to niezwykły hack, którego pełny zakres i efekty nie będą znane przez tygodnie, a nawet miesiące. Dodatkowe buty prawdopodobnie spadną wcześnie i często.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook