Российские хакеры подозреваются в проведении атаки на Министерство финансов США, Национальное управление по телекоммуникациям и информации (NTIA) и ряд других учреждений. Компания по кибербезопасности FireEye, которая обнаружила атаку, сообщает, что под угрозой могут находиться множество государственных и частных организаций по всему миру, однако пока не называет виновных.
Как следует из отчета FireEye, злоумышленники взломали производителя ПО SolarWinds и внедрили вредоносное обновление в программу Orion, которая используется многими организациями по всему миру. При загрузке обновления злоумышленники получили доступ к сетям клиентов SolarWinds. Взлом SolarWinds подтвердили аналитики Microsoft, следы атаки обнаружили специалисты компании в воскресенье. Кроме того, от атаки пострадала и компания FireEye.
Вероятно, взлому подверглись и другие правительственные учреждения США. Среди клиентов SolarWinds значатся крупные частные компании из списка Fortune 500, несколько основных поставщиков телекоммуникационных услуг США, все подразделения вооруженных сил США, Агентство национальной безопасности США, госдепартамент и офис президента. Атака затрагивает обновления, выпущенные в период с марта по июнь этого года.
Агентство Reuters сообщило, что взлому было посвящено заседание Совета национальной безопасности в Белом доме в субботу. Правительство США пока не объявило виновников публично, однако собеседники агентства в правительстве заявляют, что ответственность за атаку может нести Россия.
Как пишет The Washington Post со ссылкой на собственные источники, за атакой стоит группировка хакеров APT29 (Cozy Bear), которую связывают с российской разведкой. Эта же российская группа взломала почтовые серверы Госдепартамента и Белого дома в годы работы администрации Обамы.
FireEye, которая обнаружила взлом, пока не указывает, кто ответственен за атаку. Компания присвоила злоумышленникам кодовое название UNC2452. Посольство России в США назвало обвинения безосновательными. В заявлении посольства говорится, что «атаки в информационном пространстве противоречат» российской внешней политике и национальным интересам.
«Данная кампания весьма обширна, она затронула государственные и частные организации по всему миру. Среди жертв оказались государственные, консалтинговые, технологические, телекоммуникационные и горнодобывающие компании в Северной Америке, Европе, Азии и на Ближнем Востоке. Мы ожидаем дополнительных жертв в других странах и сферах», — говорится в сообщении FireEye.
Компания SolarWinds также опубликовала сообщение, в котором подтвердила факт взлома ПО Orion версии 2019.4 HF 5 и 2020.2 и попросила клиентов установить обновления до версии 2019.4 HF 6 или 2020.2.1 HF 1 соответственно.
«Никакие другие версии продуктов платформы Orion не подвержены данной уязвимости системы безопасности. Другие продукты, не относящиеся к Orion, также не подвержены этой уязвимости системы безопасности», — подчеркивают в компании.
В понедельник SolarWinds направила в Комиссию по ценным бумагам и биржам документ, в котором указано, что «менее 18 тысяч» из более чем 300 тыс. клиентов, возможно, установили скомпрометированный программный патч.
Специалисты FireEye присвоили обнаруженному вредоносному ПО имя SUNBURST. В Microsoft его назвали Solorigate; антивирус Defender уже получил соответствующие обновления.
