FireEye выпустила технический доклад о кибератаке на Минфин США
Американская фирма кибербезопасности FireEye сообщила некоторые подробности о серии атак, которым в этот уик-энд подверглись Министерство финансов США и Национальное управление по телекоммуникациям и информации (NTIA) Министерства торговли США. Об этом ранее информировали ведущие СМИ, включая Reuters, Washington Post и Wall Street Journal.
По имеющимся сведениям, ответственность за эти происшествия несут хакеры, скорее всего действовавшие по заказу иностранного государства. Им удалось взломать софтверную компанию SolarWinds и инфицировать вредоносным кодом SUNBURST обновление для ее ПО Orion. Таким образом было осуществлено вторжение в сети многих американских компаний и государственных организаций, в том числе и в сеть самой FireEye.
Точное число пострадавших от этой атаки неизвестно, но по информации Reuters инцидент стал причиной созыва экстренного совещания Совета по национальной безопасности, что говорит о том, какое значение ему придают в Белом Доме.
Источники Washington Post связывают данное вторжение с группой киберпреступников APT29, которые как считается работают на Службу внешней разведки России (СВР). Тем не менее, эксперты FireEye посчитали это предположение недостаточно обоснованным и дали гипотетическим злоумышленникам нейтральное обозначение, UNC2452.
В оповещениях системы безопасности, разосланных своим клиентам в воскресенье, Microsoft также предупредила о взломе SolarWinds и рекомендовала контрмеры тем из них, которые могли пострадать от компрометации ПО.
SolarWinds в воскресном пресс-релизе признала факт взлома Orion, программной платформы для централизованного мониторинга и администрирования, применяемой в крупных сетях для контроля всех подключенных ИТ-ресурсов - серверов, рабочих станций, мобильных устройств и оборудования IoT. Она сообщила, что инфицированными оказались апдейты Orion с 2019.4 по 2020.2.1, выпускавшиеся между мартом и июнем 2020 года.
В своем докладе, выпущенном сегодня, FireEye изложила техническую информации о коде SUNBURST, а также разместила на GitHub правила для его обнаружения. Microsoft дала этому же коду наименование Solorigate и добавила правила его обнаружения в свое антивирусное ПО Defender.
Вопреки первому впечатлению, данная хакерская кампания не была нацелена именно на США. "Среди жертв оказались государственные, консалтинговые, технологические, телекоммуникационные и добывающие предприятия в Северной Америке, Европе, Азии и на Ближнем Востоке. Мы ожидаем, что станет известно о дополнительных пострадавших в других странах и областях деятельности", - добавила FireEye.
SolarWinds во вторник собирается выпустить новый апдейт (2020.2.1 HF 2), который "заменяет скомпрометированный компонент и обеспечивает несколько дополнительных улучшений безопасности".
Со своей стороны, чрезвычайную директиву с инструкциями о том, как государственные органы могут обнаруживать и анализировать системы, взломанные ПО SUNBURST, также выпустило Агентство кибербезопасности и инфраструктуры США (CISA).
