an_read">

За прошедшие праздники появилось немало новых деталей, касающихся взлома компании SolarWinds, чья недавняя компрометация привела к серьезным последствиям. Напомню, что неизвестные злоумышленники атаковали ком­панию SolarWinds и зарази­ли ее плат­форму Orion мал­варью. Среди пос­тра­дав­ших оказались такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности. Информацию об этой масштабной компрометации, которую многие назвали взломом года, мы собрали в одном материале.

Взлом Минюста

В первых числах января представители Министерства юстиции США подтвердили, что Минюст тоже пострадал от взлома SolarWinds. Хуже того, ведомство стало одной из немногих жертв, в сети которой хакеры продолжили развивать атаку и в итоге получили доступу к внутренним почтовым ящикам.

«На данный момент известно, что количество потенциально доступных почтовых ящиков O365 (Microsoft Office 365) было ограничено примерно 3%, и у нас нет никаких свидетельств того, что атака затронула какие-либо секретные системы», — гласит официальный пресс-релиз.

Исходя из того, что штат сотрудников Министерства юстиции оценивается примерно в 100 000 — 115 000 человек, число пострадавших составляет от 3 000 до 3450 человек.

Сообщается, что в настоящее время бэкдор преступников уже обезврежен.

Во взломе обвиняют Россию

Также в начале января совместное заявление выпустили Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ), Агентство по кибер­безопас­ности и защите инфраструк­туры (CISA) и Управление директора национальной разведки (ODNI). Правоохранительные органы заявили, что за компрометаций SolarWinds и ее клиентов, скорее всего, стояла Россия.

Официальные лица говорят, что за этой масштабной атакой на цепочку поставок стоит неназванная APT-группировка «вероятно российского происхождения». Сам взлом SolarWinds чиновники охарактеризовали как «попытку сбора разведданных».

В сущности, совместное заявление агентств повторило информацию, опубликованную изданием Washington Post в декабре прошлого года. Тогда журналисты, со ссылкой на собственные источники, писали, что свя­зыва­ют ата­ку с извес­тной рус­ско­языч­ной хак‑груп­пой APT29 (она же Cozy Bear и Dukes), которая, как счи­тают экспер­ты, дей­ству­ет под эги­дой рос­сий­ских властей.

При этом нуж­но ска­зать, что спе­циалис­ты ком­паний FireEye и Microsoft, изу­чив­шие инци­дент доскональ­но, не сооб­щали ничего о воз­можной атри­буции ата­ки. Вмес­то это­го FireEye прис­воила груп­пиров­ке ней­траль­ное кодовое имя UNC2452 и заяви­ла, что ата­ка не была нацеле­на кон­крет­но на США.

Подозрения пали на JetBrains

Издания New York Times и Wall Street Journal опубликовали сообщения, в которых утверждалось, что компания JetBrains находится под следствием из-за возможного участия во взломе компании SolarWinds.

Журналисты, со ссылкой на собственные правительственные источники, писали, что официальные лица США рассматривают сценарий, в ходе которого российские хакеры могли взломать JetBrains, а затем предпринять атаки на ее клиентов, одним из которых является SolarWinds. В частности, исследователи считают, что хакеры могли нацеливаться на продукт TeamCity.

В ответ на это глава JetBrains Максим Шафиров опубликовал пост в блоге компании, в котором рассказал, что в JetBrains никто не знает о якобы ведущемся в отношении компании расследовании, и представители SolarWinds не связывались с JetBrains и не сообщали никаких подробностей об инциденте. Хотя пострадавшая компания действительно использует решение TeamCity.

«Важно подчеркнуть, что TeamCity — сложный продукт, требующий правильной настройки. Если TeamCity каким-то образом был использован в процессе [взлома], это вполне могло быть связано с неправильной конфигурацией, а не с конкретной уязвимостью, — говорит Шафиров. — По этому поводу с нами не связывалось какое-либо правительство или агентство безопасности, и нам неизвестно, что ведется какое-то расследование. Если такое расследование действительно будет проведено, власти могут рассчитывать на наше полное сотрудничество».

Источник: xakep