Компании по кибербезопасности подверглись кибератакам российских хакеров

Будь-то возможность, стратегия или явная наглость, российские хакеры, стоящие за массированной кибератакой, раскрытой в прошлом месяце, сосредоточили особое внимание на технологических компаниях, включая фирмы, занимающиеся кибербезопасностью, которым было поручено обнаруживать вредоносную активность в сетях своих клиентов.

На этой неделе четыре компании, занимающиеся кибербезопасностью, объявили, что они стали объектом кибератак, добавив к списку по крайней мере восемь других технологических компаний, которые пытались взломать хакеры. Многие компании заявили, что успешно заблокировали злоумышленников, но несколько признали, что в их сети проникли.

Хакеры могли сосредоточиться на технологических компаниях и компаниях, занимающихся кибербезопасностью, просто потому, что после правительственных агентств они были следующей целью. "Для хакеров компании, занимающиеся кибербезопасностью, представляют собой привратников, охраняющих компьютерные сети, которые они так отчаянно хотят использовать, - сказал Аллан Лиска, старший архитектор безопасности аналитической фирмы по кибербезопасности.

Кроме того, компании, занимающиеся кибербезопасностью и технологиями, часто имеют удаленный доступ к компьютерным сетям клиентов, что потенциально дает хакерам доступ к их клиентам и партнерам. По словам Лиски, такие взломы цифровых цепочек поставок - эффективный метод загнать в угол сотни, если не тысячи потенциальных жертв.

"Если вы можете поставить под угрозу инфраструктуру безопасности, у вас, по сути, есть ключи от королевства, и вы можете бегать по нему незамеченными", - сказал он. "И мы имеем дело с продвинутым противником, который ищет такой доступ".

Например, в случае с SolarWinds хакеры установили вредоносное ПО в ее программное обеспечение Orion, которое используется государственными учреждениями и компаниями из списка Fortune 500.

Фирма из Техаса заявила, что до 18 000 клиентов могли получить вредоносный код в обновлениях программного обеспечения, хотя считается, что гораздо меньше клиентов подверглись дальнейшим атакам со стороны хакеров.

Кроме того, по словам экспертов по кибербезопасности, хакеры нацелились как минимум на одного реселлера инструментов Office 365 корпорации Microsoft, вероятно, путем получения доступа к учетным данным для входа и последующего взлома клиентов реселлеров. Предполагаемые российские хакеры использовали эту тактику для нападения на компанию по кибербезопасности Crowdstrike, которая в конечном итоге не была взломана.

Кибер-исследовательская компания Malwarebytes также стала мишенью после взлома стороннего приложения, защищающего ее электронную почту Office 365, и хакеры получили доступ к "ограниченному набору внутренних электронных писем компании", - сказал Malwarebytes.

Пока нет никаких доказательств того, что компании, работающие в сфере кибербезопасности, были отправной точкой для более широкой атаки, известно только то, что российские хакеры попытались это сделать.

"Это устойчивая, изощренная кибератака, которая требует от организаций тщательного изучения цепочки поставок своей ИТ-инфраструктуры, частью которой является кибербезопасность, - сказал Райан Гиллис, вице-президент по стратегии кибербезопасности и глобальной политике Palo Alto Networks. Если посмотреть на последствия, которые мы видели до сих пор, все указывает на цепочку поставок IT".

По мнению экспертов по кибербезопасности, взлом компаний, занимающихся кибербезопасностью, также дает злоумышленникам преимущества при запуске дальнейших атак, потенциально предоставляя им средства обнаружения или исходный код, которые они могут использовать, чтобы избежать попадания в ловушку.

"Если я пытаюсь проникнуть в ваш дом, лучший способ сделать это - отключить камеры, электронные часы; это даст мне тактическое преимущество", - сказал Алекс Холден, основатель и главный специалист по информационной безопасности Hold Security. "Знать, как избежать обнаружения в киберпространстве, - вот почти вся битва. Если у них в кармане есть средства обнаружения, значит, они приняли наши меры предосторожности, чтобы использовать их против нас."

Mimecast, поставщик услуг безопасности электронной почты, заявила во вторник, что хакеры использовали против нее один из ее инструментов безопасности, чтобы просматривать учетные записи клиентов Microsoft 365. Fidelis Cybersecurity заявила, что компания исследует доказательства того, что она могла быть целью. Другая компания, занимающаяся кибербезопасностью, Qualys, также подверглась нападению, но в своем заявлении сообщила, что " атака не оказала никакого воздействия на производственную среду и не было украденных данных".

Palo Alto Networks заявила, что в октябре она стала мишенью тех же хакеров, но успешно остановила атаки.

Взлом был раскрыт в декабре компанией по кибербезопасности FireEye, которая сама подверглась атаке. В ходе кибератаки хакеры проникли в 10 правительственных агентств США, в том числе министерства юстиции, казначейства и национальной безопасности. Среди других технологических компаний, которые подверглись дальнейшим атакам, были Microsoft и Cisco Systems. Официальные лица США заявили, что, по их мнению, за атакой стоят хакеры, связанные с правительством России.

Кибератака - не первый случай, когда хакеры взламывают компании, занимающиеся кибербезопасностью. В 2011 году, например, было атаковано подразделение RSA EMC, а два года спустя охранная фирма Bit9 обнаружила, что компания был взломана. Компания Juniper Networks заявила, что она тоже была взломана в 2015 году.

Даже в этом случае попытки атаковать компании, занимающиеся кибербезопасностью, сопряжены с риском.

В конце концов, российские хакеры все еще могли бы оставаться незамеченными через сети правительства США и различных компаний, если бы они не решили взломать компьютеры FireEye.

"Злоумышленники становятся более изощренными и с течением времени становятся совершенствуют методы взлома и захвата данных", - сказал Джим Джагер, бывший генерал ВВС США, который в настоящее время является президентом и главным киберстратегом компании Arete Advisors LLC, занимающейся кибер-расследованиями. "Теперь они стремятся использовать инструменты кибербезопасности, чтобы проникнуть в наши сети. Они берут наши гарантии и используют их против нас".

Microsoft Правительство