Różności i nowinki technologia

Jak zrozumieć Fallout Russia Hack

Oznacza to, że w potencjalnych ofiarach tych ataków istnieją naprawdę trzy podgrupy: użytkownicy Oriona, którzy zainstalowali backdoora, ale nigdy nie zostali wykorzystani w inny sposób; ofiary, które miały złośliwą aktywność w swoich sieciach, ale ostatecznie nie były atrakcyjnymi celami dla napastników; oraz ofiary, które zostały poważnie zagrożone, ponieważ posiadały cenne dane.

„Jeśli nie eksfiltrowali danych, to dlatego, że tego nie chcieli” – mówi Jake Williams, były haker z NSA i założyciel firmy Rendition Infosec. „Jeśli nie skorzystali z dostępu, to dlatego, że nie byli nim zainteresowani”.

Solarwinds

Nikt nie wie, jak głęboki jest szał hakerski w Rosji

Mimo to ta pierwsza i druga grupa nadal muszą zneutralizować tylne drzwi, aby uniemożliwić dostęp w przyszłości. Odkąd był w stanie przeanalizować wskaźniki z własnego włamania, FireEye podjął wysiłek, do którego dołączyły inne firmy, aby opublikować informacje o anatomii ataków. Niektóre ze „wskaźników włamania” obejmują adresy IP i odpowiedzi rekordów Domain Name Service związane ze złośliwą infrastrukturą atakujących. Respondenci i ofiary mogą wykorzystać te informacje do sprawdzenia, czy serwery lub inne urządzenia w ich sieciach komunikują się z systemami hakerów. Firma Microsoft współpracowała również z FireEye i GoDaddy nad opracowaniem swego rodzaju „wyłącznika awaryjnego” dla backdoora, przejmując kontrolę nad adresami IP, z którymi komunikuje się złośliwe oprogramowanie, aby nie mogło już otrzymywać poleceń.

Wyeliminowanie backdoora jest kluczowe, zwłaszcza że osoby atakujące nadal aktywnie go wykorzystują. A teraz, gdy szczegóły techniczne dotyczące ich infrastruktury są publiczne, istnieje również ryzyko, że inni hakerzy mogą również skorzystać ze złośliwego dostępu, jeśli nie zostanie on zablokowany.

W domu

Jednak dla ofiar, które poniosły głębszy kompromis, samo zamknięcie drzwi nie wystarczy, ponieważ napastnicy już zadomowili się w środku.

W przypadku wyraźnych celów, takich jak agencje rządowe USA, pytanie brzmi, do czego dokładnie napastnicy uzyskali dostęp i jaki szerszy obraz mogą przedstawić informacje w zakresie geopolityki, zdolności obronnych i ofensywnych USA w Departamencie Obrony, infrastruktury krytycznej i nie tylko.

Dokładne określenie tego, co zostało zrobione, jest trudne i czasochłonne. Na przykład niektóre raporty wskazywały, że hakerzy włamali się do krytycznych systemów Departamentu Energii National Nuclear Security Administration, który jest odpowiedzialny za amerykański arsenał broni jądrowej. Jednak rzecznik DOE, Shaylyn Hynes, powiedział w oświadczeniu pod koniec czwartku, że chociaż napastnicy uzyskali dostęp do „sieci biznesowych” DOE, nie naruszyli „podstawowych funkcji Departamentu w zakresie bezpieczeństwa narodowego”.

„Dochodzenie jest w toku, a reakcja na ten incydent ma miejsce w czasie rzeczywistym” – powiedział Hynes.

Taka jest sytuacja wszystkich ofiar w tym momencie. Niektóre cele odkryją, że zostały dotknięte głębszym wpływem, niż początkowo sądzili; inni mogą stwierdzić, że hakerzy kopnęli opony, ale nie posunęli się dalej. Jest to główne zagrożenie związane z atakiem na łańcuch dostaw, takim jak naruszenie SolarWinds. Atakujący uzyskują jednocześnie ogromny dostęp i mogą wybierać ofiary, podczas gdy ratownicy mogą nadrobić zaległości.

Chociaż trudno jest określić pełny zakres sytuacji, naukowcy dołożyli wspólnych starań, aby ustalić, kto i jak bardzo został trafiony. Śledząc i łącząc adresy IP, rekordy DNS i inne flagi atakujących, analitycy bezpieczeństwa opracowują nawet metody proaktywnej identyfikacji celów. Na przykład Kaspersky Lab wypuścił w piątek narzędzie, które dekoduje żądania DNS z infrastruktury dowodzenia i kontroli napastników, co może pomóc w wskazaniu, które cele są priorytetowe dla hakerów.

Wiadomości o szaleństwie hakerskim będą prawdopodobnie trwały przez kilka tygodni, ponieważ więcej organizacji określi swoje miejsce w rubryce potencjalnych celów. Prezes Microsoft Brad Smith napisał w czwartek, że firma powiadomiła ponad 40 klientów o oznakach głębokiego włamania do ich sieci. Microsoft twierdzi, że chociaż zdecydowana większość tych ofiar znajduje się w Stanach Zjednoczonych, niektóre z nich znajdują się w siedmiu innych krajach: Kanadzie, Meksyku, Belgii, Hiszpanii, Wielkiej Brytanii, Izraelu i Zjednoczonych Emiratach Arabskich. „Jest pewne, że liczba i lokalizacja ofiar będą rosły” – dodał Smith.

Później tej nocy Microsoft potwierdził, że został on również przejęty podczas kampanii.


Więcej świetnych historii WIRED

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook