Расследование: минимум 200 компаний пострадало от глобальной кибератаки российских хакеров

По меньшей мере 200 организаций, в том числе правительственные учреждения и компании по всему миру, были взломаны в рамках российской кибератаки, в ходе которой вредоносный код внедрялся в широко используемую программу, заявили компания по кибербезопасности и три человека, знакомых с текущими расследованиями.

Число реальных жертв хакерских атак было одним из многих оставшихся без ответа вопросов, связанных с кибератакой, которая использовала бэкдор в программном обеспечении управления сетью Orion компании SolarWinds в качестве плацдарма для дальнейших атак.

Целых 18 000 клиентов SolarWinds получили вредоносное обновление, включающее бэкдор, но количество реально взломанных клиентов компании, согласно данным расследования меньше.

Recorded Future, фирма по кибербезопасности из Массачусетса, выявила 198 жертв, которые были взломаны с помощью бэкдора SolarWinds, сказал аналитик угроз Аллан Лиска. Еще три человека заявили, что в ходе расследования выяснилось, что хакеры дополнительно скомпрометировали как минимум 200 жертв, перемещаясь в компьютерных сетях или пытаясь получить учетные данные пользователя - то, что эксперты по кибербезопасности называют активностью «рук на клавиатуре». Окончательное число  жертв может быть больше.

Ни Recorded Future, ни люди, знакомые с расследованием, не сообщили личности жертв. Ожидается, что их число будет расти по мере продолжения широкомасштабного расследования. Мотивы хакеров остаются неизвестными, и неясно, что они просматривали или украли из компьютерных сетей, которые были взломаны.

Из примерно 18 000 клиентов SolarWinds, получивших зараженное обновление, более 1000 столкнулись с тем, что вредоносный код пингует так называемый сервер «команд и управления» второго уровня, управляемый хакерами, что дает им возможность взломать сеть дальше, согласно публичным данным. Серверы управления и контроля используются хакерами для управления вредоносным кодом, когда он попадает в целевую сеть. Исследователи установили, что из более чем 1000 из них, по крайней мере, 200 были дополнительно взломаны.

Следующим шагом может стать проникновение самих хакеров в компьютерную сеть.

Представитель SolarWinds сказал, что компания «по-прежнему сосредоточена на сотрудничестве с клиентами и экспертами для обмена информацией и работы, чтобы лучше понять эту проблему».

Хакеры, связанные с правительством России, подозревались с самого начала, и госсекретарь Майкл Помпео в пятницу подтвердил это в интервью.

FireEye обнаружил нарушение работы SolarWinds во время исследования собственного взлома.

«Были предприняты значительные усилия по использованию стороннего программного обеспечения для встраивания кода в правительственные системы США, и теперь они появляются в системах частных компаний, компаний и правительств по всему миру», - сказал Помпео в радиоинтервью. «Это было очень серьезное усилие, и я думаю, что теперь мы можем довольно четко сказать, что именно русские участвовали в этой деятельности».

В субботу президент Дональд Трамп преуменьшил значение взлома в Твиттере и предположил, что ответственность может нести Китай, а не Россия, в то время как исполняющий обязанности председателя сенатского комитета по разведке Марко Рубио заявил, что «становится все более очевидным, что российская разведка провела самое серьезное кибер-вторжение в истории».

Ведущее агентство США по кибербезопасности в четверг объявило, что хакеры представляют «серьезную опасность» для федерального правительства, правительства штата и местных властей, а также для критически важной инфраструктуры и частного сектора. Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) заявило, что злоумышленники проявили терпение, были хорошо обеспечены ресурсами и «продемонстрировали изощренность и сложную торговлю».

CISA также заявила, что обнаружила доказательства наличия других потенциальных лазеек, помимо платформы SolarWinds Orion, предполагая, что могут быть совершенно другие группы потенциальных жертв, которые еще не были идентифицированы.

Корпорация Microsoft сообщила в четверг, что 40 ее клиентов были взломаны, что атаки продолжаются и что число жертв, как ожидается, увеличится. Среди пострадавших были неназванные компании, работающие в сфере кибербезопасности, правительственные учреждения и государственные подрядчики, примерно 80% из которых находятся в США.

Компания FireEye, занимающаяся кибербезопасностью, стала первой жертвой, которая 8 декабря сообщила о взломе и сообщила, что при расследовании собственного взлома исследователи компании обнаружили бэкдор SolarWinds. Сама Microsoft заявила, что обнаружила вредоносное обновление SolarWinds в своей сети, но не обнаружила доказательств доступа к «производственным службам или данным клиентов».

По материалам: Bloomberg