Как атаковали SolarWinds: крупнейшая кибератака на США и силуэт российских хакеров
Один из самых изощренных и крупнейших взломов американских правительственных систем за последние годы. Так СМИ окрестили хакерскую атаку на несколько министерств США, масштабы которой впоследствии оказались гораздо более впечатляющими, чем изначально предполагалось. Ее связали с ПО компании SolarWinds и, конечно же, российскими хакерами.
Первые сообщения об атаке появились 13 декабря. Изначально речь шла о системах Минфина и одного из подразделений Министерства торговли США — злоумышленники месяцами отслеживали внутреннюю почту ведомств. Однако уже тогда в СМИ заговорили, что это может быть лишь верхушкой айсберга.
Едва ли не каждый день к списку затронутых атакой государственных ведомств и частных компаний добавлялись новые жертвы. Среди них — Microsoft, FireEye, Cisco, а также Госдеп, Министерство внутренней безопасности, Министерство энергетики США и другие.
В атаке обвинили хакеров, «спонсируемых иностранным государством». Виновных не пришлось долго искать. Практически сразу указали на конкретное государство, предположительно стоящее за инцидентом, — Россию.
ForkLog разобрался в особенностях атаки на поставщика ПО SolarWinds, с которого все началось.
- Хакеры заразили вредоносом платформу от SolarWinds. Ее использовали множество ведомств и компаний — зараженную версию установили около 18 000 клиентов SolarWinds.
- Ответственность за взлом американские СМИ и спецслужбы, занимающиеся расследованием, возлагают на «российских хакеров».
- Истинные масштабы ущерба пока неизвестны — выяснилось, что атаковавшие SolarWinds скомпрометировали и компании, не использовавшие продукты SolarWinds.
Взлом SolarWinds — пазл из множества деталей
8 декабря одна из самых известных компаний по кибербезопасности FireEye сообщила о том, что сама пострадала от хакерской атаки. Злоумышленники получили доступ к инструментам, которые FireEye использовала для тестирования безопасности сетей своих клиентов.
«Эта кража сравнима с тем, если бы грабители банка, «обчистив» хранилища, вернулись и похитили инструменты ФБР для расследования ограбления», — написали в The New York Times.
СЕО компании Кевин Мандиа [Kevin Mandia] заявил, что за взломом стоят «изощренные злоумышленники, чья дисциплина и методы заставляют предположить, что это была атака, спонсируемая государством».
Позже выяснилось, что FireEye не была единственной целью хакеров — она стала одной из многочисленных жертв атаки на поставщика ПО SolarWinds, о которой стало известно позже. К расследованию инцидента присоединилась и сама FireEye.
SolarWinds является крупной американской IT-компанией, разрабатывающей ПО для множества госпредприятий и частных фирм для управления их сетями, системами и инфраструктурой.
После того, как начали появляться первые сообщения в СМИ о проникновении хакеров в правительственные системы, компания попросила пользователей срочно обновить платформу Orion.
SolarWinds asks all customers to upgrade immediately to Orion Platform version 2020.2.1 HF 1 to address a security vulnerability. More information is available at https://t.co/scsUhZJCk8
— SolarWinds (@solarwinds) December 14, 2020
Выяснилось, что именно Orion была одним из главных источников последующих проблем для множества компаний. Злоумышленники заразили вредоносным ПО версии Orion, выпущенные в период с марта по июнь 2020 года. При загрузке обновлений хакеры получали доступ к сетям клиентов SolarWinds.
Специалисты FireEye назвали вредонос SUNBURST, подключившаяся к расследованию Microsoft — Solorigate.
Первоначальное расследование Microsoft показало, что большинство пострадавших от атаки сосредоточены в США, а жертвами в основном стали IT-компании и правительственные структуры.
Позже оказалось, что атака затронула и саму Microsoft.
— Frank X. Shaw (@fxshaw) December 18, 2020
Несмотря на то, что в компании заявили, что вредоносные файлы изолировали и удалили, знакомые с ситуацией источники рассказали, что хакеры задействовали продукты Microsoft в дальнейших атаках.
Постепенно добавляющиеся детали делали этот взлом все резонансней. Исследователь Винот Кумар заявил, что ранее получил доступ к серверу обновлений SolarWinds благодаря элементарному паролю — «solarwinds123».
SolarWinds, whose software was backdoored to allow hackers to breach U.S. government agencies, was warned last year that anyone could access its update server using the password «solarwinds123», per @bing_chris and @razhael. https://t.co/2mRGTKHu87
— Zack Whittaker (@zackwhittaker) December 15, 2020
Бывший советник по безопасности SolarWinds Йен Торнтон-Трамп [Ian Thornton-Trump] предупреждал компанию о рисках кибербезопасности еще в 2017 году, однако, по его словам, так и не был услышан.
«Я считаю, что с точки зрения безопасности SolarWinds была невероятно легкой мишенью для взлома», — сказал он.
Специалисты Group-IB выявили, что известный русскоязычный хакер Fxmsp продавал доступы к solarwinds.com и dameware.com (ПО дистанционного управления Solarwinds) на одном из форумов еще в октябре 2017 года.
Знакомые с расследованием источники также рассказали, что хакеры осуществили пробную атаку в октябре 2019 года — они распространяли сторонние файлы из сетей Solarwinds. Тогда файлы не содержали бэкдоров, но это демонстрирует, что у злоумышленников уже был доступ к Solarwinds задолго до того, как стало известно об атаке.
Примечательно и то, что топ-инвесторы SolarWinds продали акции на сотни миллионов долларов за несколько дней до первых сообщений о взломе.
Российский след
Начиная с самых первых сообщений об атаке SolarWinds ее приписали «российским хакерам».
Ведущие агентства нацбезопасности США, включая ФБР, Агентство кибербезопасности и защиты инфраструктуры (CISA), АНБ и Аппарат директора Национальной разведки (ODNI) выпустили совместное заявление, согласно которому именно Россия с наибольшей вероятностью ответственна за взлом.
Just released: Joint statement with our partners at @FBI, @ODNIgov, and @NSAGov on the recent significant cyber incident involving federal government networks: https://t.co/nxHaN5UJRp
— Cybersecurity and Infrastructure Security Agency (@CISAgov) January 5, 2021
Целью атаки они назвали сбор разведданных.
О «российском следе» может говорить и тот факт, что, согласно The New York Times, под расследование ФБР попала компания JetBrains, основанная выходцами из РФ. Как писало издание, ФБР проверяло, могли ли инструменты компании использоваться во взломе SolarWinds.
В JetBrains заявили, что с ними «не связывался ни один государственный орган или агентство безопасности». Позже они дополнили заявление тем, что «JetBrains никоим образом не участвовала в этом инциденте».
Российская сторона с самого начала отвергла свою причастность, а обвинения назвала безосновательными.
🇷🇺🇺🇸 Комментарий Посольства
🔸 Обратили внимание на очередные безосновательные попытки американских СМИ обвинить Россию…
Опубликовано Embassy of Russia in the USA / Посольство России в США Воскресенье, 13 декабря 2020 г.
Чаще всего СМИ со ссылкой на знакомых с расследованием людей называли виновником атаки Cozy Bear (также известна как APT29). Ее связывают с российскими спецслужбами.
Cozy Bear уже фигурировала в другом скандале со взломом — исследователи утверждали, что она причастна к атаке на Национальный комитет Демократической партии США.
Специалисты «Лаборатории Касперского» отметили, что взломщики SolarWinds использовали инструменты, похожие на те, которые применяет хакерская группировка Turla (или Uroboros). Ей также приписывают связь с российским правительством.
Бывший госсекретарь США Майк Помпео заявил, что за атакой на SolarWinds стоит Россия. С ним согласился и Уильям Барр, занимавший в декабре 2020 года должность генпрокурора США.
Дональд Трамп придерживался иной версии.
«Россия, Россия, Россия — это все «говорят хором», когда что-то происходит, потому что [американские СМИ], в основном по финансовым причинам, боятся обсуждать возможность, что за этим стоит Китай (а так может быть!)», — написал он в Twitter.
Несмотря на то, что Трамп довольно часто обвинял Китай во всех бедах, в этот раз он мог оказаться не так далек от истины.
В начале февраля 2021 года Reuters со ссылкой на близкие к расследованию источники сообщил, что предположительно китайские хакеры использовали уязвимость в ПО SolarWinds для получения доступа к Национальному финансовому центру, подразделению Министерства сельского хозяйства США.
Эксплуатируемый китайскими хакерами баг не связан с уязвимостью, которую предположительно использовали российские киберпреступники, отметило издание.
«По всей видимости, SolarWinds была важной целью для более чем одной группировки», — заявила замглавы отдела разведки угроз в подразделении Palo Alto Networks 42 Джен Миллер-Осборн.
И это неудивительно, учитывая список пострадавших от атаки.
От министерств до Microsoft: жертвы взлома
Среди клиентов SolarWinds, использовавших платформу Orion, множество американских правительственных ведомств. Это Пентагон, Минфин, Госдеп, Национальное управление ядерной безопасности, Министерство внутренней безопасности США и ряд других госструктур.
Также атака затронула множество частных компаний — Cisco, Mimecast, Palo Alto Networks, Fidelis Cybersecurity и другие.
Как пишет Bloomberg, в рамках атаки хакеры получили доступ к сетям как минимум 200 компаний и ведомств по всему миру.
Согласно заявлению, поданному SolarWinds в Комиссию по ценным бумагам и биржам США (SEC), взлом мог затронуть не всех клиентов компании. Из 300 000 клиентов платформу Orion использовали 33 000 и лишь 18 000 из них установили зараженные обновления.
Однако, как выяснилось, пострадали от атаки не только непосредственные клиенты SolarWinds. В январе компания по кибербезопасности Malwarebytes сообщила, что ее атаковали те же хакеры, которые взломали SolarWinds. Что примечательно — в компании утверждают, что не использовали продукты SolarWinds.
Злоумышленники воспользовались для атаки бездействующим защитным продуктом в клиенте для электронной почты Office 365. Malwarebytes узнала об инциденте от Microsoft, заметивших подозрительную активность в ходе проверки собственной инфраструктуры после взлома SolarWinds.
В конце декабря Microsoft подтвердила, что хакеры смогли просмотреть часть исходного кода некоторых продуктов компании.
По данным The Wall Street Journal, исследователи изучают возможность проникновения злоумышленников в сеть SolarWinds через продукты Microsoft.
Список жертв хакеров, атаковавших SolarWinds, расширяется едва ли не ежедневно по мере расследования. Специалисты предполагают, что всецело масштабы инцидента не удастся оценить никогда. Пока также доподлинно неизвестно, за какими именно данными охотились хакеры, кто был их истинной целью и какие сведения им удалось похитить.
После взлома на сайте под названием SolarLeaks стали торговать данными, предположительно похищенными у ряда компаний в результате взлома. Однако едва ли продажа украденных данных в даркнете — единственная цель столь изощренной и всеобъемлющей атаки.
Автор: Алина Саганская.
Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!