WSJ: Жертвы взлома SolarWinds
"Как свидетельствует анализ интернет-данных, проведенный The Wall Street Journal, подозреваемые российские хакеры, стоящие за взломами правительственных агентств США, также получили доступ к крупным американским технологическим и бухгалтерским компаниям, по крайней мере, к одной больнице и университету.
WSJ идентифицировал зараженные компьютеры в 24 организациях, которые установили зараженное программное обеспечение для мониторинга сети под названием SolarWinds Orion, позволявшее хакерам проникать через тайно внедренный бэкдор. Это дало им потенциальный доступ к значительным объемам важных корпоративных и личных данных".
"Среди них: технологический гигант Cisco Systems Inc., производители микросхем Intel Corp. и Nvidia Corp., бухгалтерская фирма Deloitte LLP, производитель программного обеспечения для облачных вычислений VMware Inc. и Belkin International Inc., которая продает домашние и офисные Wi-Fi-роутеры и сетевое оборудование под брендами LinkSys и Belkin. Атакующие также имели доступ к Департаменту больниц штата Калифорнии и Кентскому университету", - говорится в статье.
"Жертвы приоткрывают окно, позволяя увидеть широкий масштаб взлома, который мог охватить до 18 тыс. клиентов SolarWinds Corp., базирующейся в Остине, заявила компания, после того как хакеры внедрили в обычное обновление ПО вредоносный код. Cisco подтвердила, что обнаружила вредоносное ПО в некоторых системах сотрудников и в небольшом количестве лабораторных систем. Компания все еще ведет расследование. Intel загрузила и запустила вредоносное ПО, показал анализ WSJ. По словам представителя компании, инцидент все еще расследуется, и компания не нашла доказательств того, что хакеры использовали бэкдор для доступа к сети компании. Фирма Deloitte, согласно анализу WSJ зараженная в конце июня, заявила, что "предприняла шаги по устранению" вредоносного ПО, но "в настоящее время не обнаруживает признаков несанкционированного доступа к нашим системам".
"VMware заявила, что обнаружила "ограниченные экземпляры" вредоносного ПО в своих системах, но ее "внутреннее расследование не выявило никаких признаков использования", сообщил представитель компании. Компания Belkin сообщила в электронном письме, что удалила бэкдор сразу после того, как федеральные власти обнародовали предупреждение на прошлой неделе", - пишет издание.
"Представитель Кентского университета сообщила, что учреждение "знает о ситуации и оценивает этот серьезный вопрос". Согласно анализу WSJ, Департамент больниц штата Калифорнии инсталлировал бэкдор к началу августа. По словам представителя Управления по чрезвычайным ситуациям при губернаторе Калифорнии, который отказался давать комментарии по конкретным пострадавшим агентствам, чиновники штата работают с федеральными агентствами и агентствами штата над устранением воздействия бэкдора SolarWinds. Представитель Nvidia сообщил, что у компании "на данный момент нет доказательств того, что Nvidia пострадала, и наше расследование продолжается".
"WSJ получил цифровые подсказки с компьютеров жертв, собранные компаниями по анализу угроз Farsight Security и RiskIQ, а затем использовал методы дешифрования, чтобы идентифицировать некоторые серверы, которые загрузили вредоносный код. В некоторых случаях анализ приводил к идентификации скомпрометированных организаций и показывал, когда, вероятно, был активирован код - что свидетельствовало о том, что хакеров есть доступ", - поясняет издание.
"Пока неизвестно, что делали хакеры внутри различных организаций и даже использовали ли они бэкдоры для многих из компаний. Но следователи и эксперты по безопасности считают, что, помимо внутренних коммуникаций и других государственных секретов, хакеры могли искать электронные письма руководителей компаний, документы о разрабатываемых секретных технологиях и другие способы скомпрометировать и иные системы позднее", - утверждает газета.
"Федеральные следователи пришли к выводу, что за взлом, вероятно, ответственно российское правительство, отчасти из-за продемонстрированного уровня квалификации, - отмечается в публикации.
"Клиенты определенно психуют", - говорит Дэвид Кеннеди, компания которого, TrustedSec LLC, расследует взлом. По его словам, для многих компаний тревога заключается в том, украли ли злоумышленники данные или остаются незамеченными в корпоративных сетях. Более того, поскольку атака началась много месяцев назад, у некоторых компаний может больше не быть данных, необходимых для проведения полного расследования".
"Если это действительно СВР, как мы полагаем, этих парней невероятно сложно выгнать из сетей", - замечает Дмитрий Альперович, эксперт по кибербезопасности и соучредитель аналитического центра Silverado Policy Accelerator, имея в виду российскую Службу внешней разведки. По словам Альперовича, бывшего директора по технологиям и соучредителя компании CrowdStrike Holdings Inc., занимающейся кибербезопасностью, некоторые организации, которые лучше ведут учет активности в своих системах, вероятно, смогут определить, прошел ли кто-то через российский бэкдор в их сети. Но для других, особенно для компаний меньшего и среднего размера, это будет трудная и дорогостоящая задача, которую многие, вероятно, проигнорируют, а это означает, что Россия может поддерживать свое присутствие в некоторых сетях в течение неопределенного срока. "Они, вероятно, просто уберут бэкдор и будут жить дальше", - сказал Альперович.
"Многие корпоративные жертвы сейчас опасаются того, что хакеры могут использовать их как средство доступа к их клиентам. Например, Microsoft обнаружила в исследовании, обнародованном в четверг, что почти половина из более чем 40 клиентов, пострадавших от атаки, были компаниями, предоставляющими услуги в области информационных технологий, которые часто имеют широкий доступ к сетям своих клиентов".
"Microsoft, которая сама является клиентом SolarWinds, заявила на прошлой неделе, что она также обнаружила вредоносное ПО, связанное со взломом, в своей собственной сети, но "нет никаких признаков того, что наши системы использовались для того, чтобы атаковать других", - заявила представитель компании. Компания продолжает расследование", - говорится в статье.
Intel Microsoft NVIDIA Правительство Университеты