FireEye опубликовала доклад о взломе SolarWinds и кибератаке на Минфин США

14 декабрь, 2020 - 15:53
FireEye выпустила технический доклад о кибератаке на Минфин США

Компания FireEye сообщила некоторые подробности о серии атак, которым в этот уик-энд подверглись Министерство финансов США и Национальное управление по телекоммуникациям и информации (NTIA) Министерства торговли США. Об этом ранее информировали ведущие СМИ, включая Reuters, Washington Post и Wall Street Journal.

По имеющимся сведениям, ответственность за эти происшествия несут хакеры, скорее всего действовавшие по заказу иностранного государства. Им удалось взломать софтверную компанию SolarWinds и инфицировать вредоносным кодом SUNBURST обновление для её ПО Orion. Таким образом было осуществлено вторжение в сети многих американских компаний и государственных организаций, в том числе и в сеть самой FireEye.

Точное число пострадавших от этой атаки неизвестно, но по информации Reuters инцидент стал причиной созыва экстренного совещания Совета по национальной безопасности, что говорит о том, какое значение ему придают в Белом Доме.

Источники Washington Post связывают данное вторжение с группой киберпреступников APT29, которые как считается работают на Службу внешней разведки России (СВР). Тем не менее, эксперты FireEye посчитали это предположение недостаточно обоснованным и дали гипотетическим злоумышленникам нейтральное обозначение, UNC2452.

В оповещениях системы безопасности, разосланных своим клиентам в воскресенье, Microsoft также предупредила о взломе SolarWinds и рекомендовала контрмеры тем из них, которые могли пострадать от компрометации ПО.

SolarWinds в воскресном пресс-релизе признала факт взлома Orion, программной платформы для централизованного мониторинга и администрирования, применяемой в крупных сетях для контроля всех подключенных ИТ-ресурсов — серверов, рабочих станций, мобильных устройств и оборудования IoT. Она сообщила, что инфицированными оказались апдейты Orion с 2019.4 по 2020.2.1, выпускавшиеся между мартом и июнем 2020 года.

В своём докладе, выпущенном сегодня, FireEye изложила техническую информации о коде SUNBURST, а также разместила на GitHub правила для его обнаружения. Microsoft дала этому же коду наименование Solorigate и добавила правила его обнаружения в своё антивирусное ПО Defender.

Стоит также отметить, что FireEye и сама пострадала от действий нацеленных против SolarWinds.

Вопреки первому впечатлению, данная хакерская кампания не была нацелена именно на США. «Среди жертв оказались государственные, консалтинговые, технологические, телекоммуникационные и добывающие предприятия в Северной Америке, Европе, Азии и на Ближнем Востоке. Мы ожидаем, что станет известно о дополнительных пострадавших в других странах и областях деятельности», — добавила FireEye.

SolarWinds во вторник собирается выпустить новый апдейт (2020.2.1 HF 2), который «заменяет скомпрометированный компонент и обеспечивает несколько дополнительных улучшений безопасности».

Со своей стороны, чрезвычайную директиву с инструкциями о том, как государственные органы могут обнаруживать и анализировать системы, взломанные ПО SUNBURST, также выпустило Агентство кибербезопасности и инфраструктуры США (CISA).