Vysvětleno: Masivní kybernetický útok v USA za použití nové sady nástrojů
Jeden z největších kybernetických útoků zaměřených na americké vládní agentury a soukromé společnosti, „hack SolarWinds“, je považován za pravděpodobné globální úsilí. Jak to bylo provedeno a jaký druh dat byl ohrožen? Proč američtí vládní úředníci a politici jmenovali Rusko?
Cílem kybernetického útoku byl Orion, software dodávaný společností SolarWinds. (Foto Reuters) 'SolarWinds hack', kybernetický útok nedávno objevený ve Spojených státech, se ukázal jako jeden z vůbec největší namířené proti americké vládě, jejím agenturám a několika dalším soukromým společnostem. Ve skutečnosti se pravděpodobně jedná o globální kybernetický útok.
Poprvé jej objevila americká společnost FireEye zabývající se kybernetickou bezpečností a od té doby se každým dnem objevuje další vývoj. Naprostý rozsah kybernetického útoku zůstává neznámý, ačkoli se předpokládá, že zasaženy byly i americké ministerstvo financí, ministerstvo vnitřní bezpečnosti, ministerstvo obchodu a části Pentagonu.
V an názorový příspěvek napsáno pro The New York Times Thomas P Bossert, který byl poradcem prezidenta Donalda Trumpa pro vnitřní bezpečnost, označil za útok Rusko. Napsal důkazy o útoku SolarWinds na ruskou zpravodajskou agenturu známou jako SVR, jejíž obchodní činnost patří k nejpokročilejším na světě. Kreml svou účast popřel.
Co je tedy tento ‚hack SolarWinds‘?
Zprávy o kybernetickém útoku se technicky poprvé objevily 8. prosince, kdy FireEye zveřejnila blog, který detekuje útok na její systémy. Firma pomáhá se správou bezpečnosti několika velkých soukromých společností a federálních vládních agentur.
Generální ředitel FireEye Kevin Mandia na blogu napsal, že společnost byla napadena vysoce sofistikovaným aktérem hrozby a označil to za státem sponzorovaný útok, ačkoli Rusko nejmenoval. Uvedla, že útok provedla země s nejvyššími útočnými schopnostmi a útočník primárně hledal informace týkající se určitých vládních zákazníků. Uvedla také, že metody používané útočníky byly nové.
Dne 13. prosince FireEye uvedl, že kybernetický útok, který pojmenoval Campaign UNC2452, nebyl omezen na společnost, ale zamířil na různé veřejné a soukromé organizace po celém světě. Kampaň pravděpodobně začala v březnu 2020 a trvá několik měsíců, uvedl příspěvek. Horší je, že rozsah odcizených nebo kompromitovaných dat je stále neznámý, protože rozsah útoku se stále zjišťuje. Poté, co byly systémy kompromitovány, došlo k bočnímu pohybu a krádeži dat.
PŘIDEJ SE TEĎ :Express Explained Telegram ChannelJak bylo napadeno tolik amerických vládních agentur a společností?
Tomu se říká útok ‚Supply Chain‘: Místo přímého útoku na federální vládu nebo síť soukromé organizace se hackeři zaměří na dodavatele třetí strany, který jim dodává software. V tomto případě byl cílem software pro správu IT s názvem Orion, dodávaný texaskou společností SolarWinds.
Orion je dominantním softwarem od SolarWinds s klienty, mezi něž patří více než 33 000 společností. SolarWinds říká, že to ovlivnilo 18 000 jejích klientů. Společnost mimochodem smazala seznam klientů ze svých oficiálních stránek.
Podle stránky, která byla také odstraněna z webových archivů Google, seznam obsahuje 425 společností z Fortune 500, 10 největších telekomunikačních operátorů v USA. Zpráva New York Times uvedla, že zasaženy byly části Pentagonu, Centra pro kontrolu a prevenci nemocí, ministerstvo zahraničí, ministerstvo spravedlnosti a další.
Microsoft potvrdil, že našel důkazy o malwaru v jejich systémech, ačkoli dodal, že neexistují žádné důkazy o přístupu k produkčním službám nebo zákaznickým datům nebo že jeho systémy byly použity k útokům na ostatní. Prezident Microsoftu Brad Smith uvedl, že společnost začala upozorňovat více než 40 zákazníků, že útočníci přesněji zacílili a byli kompromitováni.
Zpráva agentury Reuters uvedla, že hackeři sledovali i e-maily zaslané úředníky ministerstva vnitřní bezpečnosti.
Jak získali přístup?
Podle FireEye získali hackeři přístup k obětem prostřednictvím trojanizovaných aktualizací softwaru pro monitorování a správu IT Orion společnosti SolarWinds. V podstatě byla využita aktualizace softwaru k instalaci malwaru „Sunburst“ do Orionu, který si pak nainstalovalo více než 17 000 zákazníků.
FireEye říká, že útočníci se spoléhali na několik technik, aby nebyli odhaleni a zakryli jejich aktivitu. Malware byl schopen získat přístup k systémovým souborům. Co fungovalo ve prospěch malwaru, bylo to, že se podle FireEye dokázal spojit s legitimní aktivitou SolarWinds.
Po instalaci umožnil malware zadní vrátka hackerům do systémů a sítí zákazníků SolarWinds. Ještě důležitější je, že malware byl také schopen mařit nástroje, jako je antivirus, které jej dokázaly detekovat.
Kam vstupuje Rusko?
Bossert ve svém stanovisku pro NYT jmenoval Rusko a jeho agenturu SVR, která má schopnosti provést útok takové důmyslnosti a rozsahu.
Microsoft na svém blogu poznamenává, že tento aspekt útoku vytvořil zranitelnost dodavatelského řetězce téměř globálního významu, která zasáhla mnoho hlavních národních měst mimo Rusko. Dále dodává, že sofistikované útoky z Ruska se staly běžnými.
FireEye však dosud nejmenoval Rusko jako odpovědné a uvedl, že probíhá vyšetřování s FBI, Microsoftem a dalšími klíčovými partnery, kteří nejsou jmenováni.
|Jak jsou ženy chráněny proteinem, který propouští koronavirusCo o hacku řekl SolarWinds a vláda USA?
SolarWinds právě teď všem zákazníkům doporučuje, aby okamžitě aktualizovali stávající platformu Orion, která má pro tento malware záplatu. Pokud je v prostředí objevena aktivita útočníka, doporučujeme provést komplexní vyšetřování a navrhnout a provést nápravnou strategii založenou na zjištěních vyšetřování a podrobnostech o zasaženém prostředí.
Těm, kteří nemohou provést aktualizaci, je řečeno, aby izolovali servery SolarWinds a mělo by to zahrnovat blokování veškerého výstupu z internetu ze serverů SolarWinds. Minimálním návrhem je změna hesel pro účty, které mají přístup k serverům / infrastruktuře SolarWinds.
Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) vydala nouzovou směrnici 21-01, ve které žádá všechny federální civilní agentury, aby přezkoumaly své sítě, zda nenaznačují kompromis. Požádal je, aby okamžitě odpojili nebo vypnuli produkty SolarWinds Orion.
FBI, CISA a kancelář ředitele národní zpravodajské služby vydaly společné prohlášení a oznámily to, co se nazývá ‚Cyber Unified Coordination Group (UCG) s cílem koordinovat reakci vlády na krizi. Prohlášení to nazývá významnou a pokračující kampaní kybernetické bezpečnosti.
Bílý dům a prezident Donald Trump mlčí. Senátor Mitt Romney to nejlépe shrnul ve svých komentářích pro novináře Oliviera Knoxe z rádia SiriusXM, kde tento útok přirovnal k ekvivalentu ruských bombardérů létajících nepozorovaně po celé zemi a odhalujících slabost kybernetické války v USA. Řekl, že mlčení a nečinnost Bílého domu jsou neomluvitelné.
Senátor Richard Blumenthal, demokrat, tweetoval: Ruský kybernetický útok mě hluboce vyděsil, ve skutečnosti přímo vyděsil.
Nově zvolený prezident Joe Biden v prohlášení uvedl: Dobrá obrana nestačí; V první řadě musíme narušit a odradit naše protivníky od provádění významných kybernetických útoků.
Sdílej Se Svými Přáteli:
