Тысячи компаний и правительств спешат выяснить, не пострадали ли они от российских хакеров, которые, как сообщается, проникли в несколько правительственных учреждений США. Первоначальное нарушение, о котором сообщалось 13 декабря, касалось казначейства, а также министерств торговли и внутренней безопасности. Но скрытые методы, которые использовали хакеры, означают, что могут потребоваться месяцы, чтобы идентифицировать всех своих жертв и удалить все шпионские программы, которые они установили.
Для осуществления взлома хакеры сначала взломали системы американской компании SolarWinds, занимающейся программным обеспечением. Там они вставили заднюю дверь в Orion, один из продуктов компании, который организации используют для просмотра и управления обширными внутренними сетями компьютеров. В течение нескольких недель, начиная с марта, любой клиент, обновившийся до последней версии Orion—цифровой подписи SolarWinds, и поэтому кажущийся законным,—невольно загружал скомпрометированное программное обеспечение, давая хакерам путь в свои системы.
SolarWinds имеет около 300 000 клиентов по всему миру, включая большинство Fortune 500 и многие правительства. В новой заявке в комиссию по ценным бумагам и биржам фирма заявила, что “менее” 18 000 организаций загружали скомпрометированное обновление. (SolarWinds сказал, что еще не ясно, сколько из этих систем было фактически взломано.) Стандартная практика кибербезопасности заключается в том, чтобы поддерживать ваше программное обеспечение в актуальном состоянии.
Хакеры были "чрезвычайно умны и стратегичны", говорит Грег Тохилл, бывший федеральный начальник службы информационной безопасности. Даже после того, как они получили доступ через заднюю дверь в Орионе, известную как солнечный луч, они двигались медленно и целенаправленно. Вместо того чтобы проникать сразу во многие системы, что могло бы легко вызвать подозрения, они сосредоточились на небольшом наборе выбранных целей, согласно отчету охранной фирмы FireEye.
Согласно отчету, Sunburst оставался спокойным в течение двух полных недель, прежде чем он активировался. Вредоносная программа маскирует свой сетевой трафик под "программу улучшения Ориона" и хранит данные внутри законных файлов, чтобы лучше вписаться в них. Он также ищет средства безопасности и антивирусные защиты,чтобы избежать их.
Месяцы незамеченными
Признаки кампании вторжения датируются мартом, согласно отчетам о безопасности от Microsoft и FireEye, которые раскрыли соответствующее нарушение своих собственных сетей только на прошлой неделе. Это означает, что любая организация, которая подозревает, что могла подвергнуться атаки, теперь должна проверить по крайней мере 10 месяцев работы системных журналов в поисках подозрительной активности—задача, которая выходит за рамки возможностей многих групп безопасности.
Россия, Китай и Иран были уличены в кибершпионаже, связанном с президентской гонкой в США.
Чтобы помочь организациям выяснить, были ли взломаны их системы, FireEye и Microsoft опубликовали длинный список "индикаторов компрометации" - криминалистических данных, которые могут свидетельствовать о вредоносной деятельности. Эти показатели включают в себя наличие самого Sunburst, а также некоторые IP-адреса, идентифицирующие компьютеры и сети, которые хакеры использовали для связи с ним. Если команда находит любой из этих IP-адресов в своих сетевых журналах, это настоящий признак плохих новостей. Но поскольку хакеры использовали каждый адрес только один раз, их отсутствие не является гарантией безопасности. Кроме того, обнаружение того, что они живут в сети, не означает, что их легко успешно выселить, поскольку они могут рыскать по сети в поисках новых укрытий.
Подозреваемые хакеры-из СВР России, Главного управления внешней разведки страны. Известные попеременно как Cozy Bear и APT29, для них составили длинный список нарушений, включая взлом Демократического национального комитета в 2016 году. Россия отрицает свою причастность.
"Это дало им возможность проникать в крупные сети", - говорит Тохилл, который в настоящее время является президентом Appgate Federal Group, защищенной инфраструктурной компании. “У них есть возможность сидеть там, глотать весь трафик, анализировать его. Мы должны обратить пристальное внимание на то, что еще ищут эти актеры? Где еще они могут быть? Где еще они могут скрываться? Если у них есть доступ, они не сдадутся так просто.”
Источник: MIT Technology Review