И почему могут потребоваться месяцы, чтобы узнать, сколько других правительств и компаний подверглись взломам.
Тысячи компаний и правительств стремятся выяснить, не пострадали ли они от российских хакеров, которые, как сообщается, проникли в несколько правительственных агентств США. Первоначальное нарушение, о котором было сообщено 13 декабря, коснулось казначейства, а также министерства торговли и внутренней безопасности. Но скрытые методы, которые использовали хакеры, означают, что идентификация всех их жертв и удаление установленных ими шпионских программ могут занять месяцы.
Чтобы осуществить взлом, хакеры сначала взломали системы SolarWinds, американской компании-разработчика программного обеспечения. Там они вставили черный ход в Orion, один из продуктов компании, который организации используют для просмотра и управления обширными внутренними компьютерными сетями. В течение нескольких недель, начиная с марта, любой клиент, обновившийся до последней версии Orion - имеющей цифровую подпись SolarWinds и, следовательно, кажущуюся законной, - невольно загружал скомпрометированное программное обеспечение, давая хакерам возможность проникнуть в их системы.
У SolarWinds около 300 000 клиентов по всему миру, в том числе большая часть компаний из списка Fortune 500 и многие правительства. В новой документации, поданной в Комиссию по ценным бумагам и биржам, компания сообщила, что «менее» 18 000 организаций когда-либо загрузили скомпрометированное обновление. (SolarWinds заявила, что пока неясно, сколько из этих систем было фактически взломано.) Стандартная практика кибербезопасности - поддерживать ваше программное обеспечение в актуальном состоянии - поэтому большинство клиентов SolarWinds, по иронии судьбы, были защищены, потому что не прислушались к этому совету.
Хакеры были «чрезвычайно умны и стратегически настроены», - говорит Грег Тухилл, бывший федеральный директор по информационной безопасности. Даже когда они получили доступ через черный ход в Орионе, известный как Санберст, они двигались медленно и осознанно. Согласно отчету охранной фирмы FireEye, вместо того, чтобы проникать сразу во многие системы, что могло легко вызвать подозрения, они сосредоточились на небольшом наборе целей выбранных заранее.
Согласно отчету, Sunburst молчал примерно две недели, прежде чем проснулся и начал общаться с хакерами. Вредоносная программа маскирует свой сетевой трафик под «Программу улучшения Orion» и хранит данные внутри законных файлов, чтобы лучше слиться с ними. Кроме того, она ищет средства защиты и антивирус на зараженной технике, чтобы избежать встречи с ними.
Чтобы скрыть свои следы, хакеры старались использовать компьютеры и сети для связи с задним ходом на заданной цели только один раз - это эквивалент использования записывающего телефона для незаконного разговора. Они ограниченно использовали вредоносное ПО, потому что его относительно легко обнаружить; вместо этого, получив первоначальный доступ через черный ход, они, как правило, выбирали более тихий путь использования настоящих украденных учетных данных для получения удаленного доступа к машинам жертвы. И вредоносная программа, которую они развернули, не использует повторно код, что затрудняет выявление шпионажа, поскольку программы безопасности ищут код, который обнаруживался в предыдущих взломах.
Месяцы неведенья
Признаки вторжения датируются мартом, согласно отчетам о безопасности от Microsoft и FireEye, которые только на прошлой неделе раскрыли связанное с этим нарушение в собственных сетях. Это означает, что любая организация, которая подозревает, что это могла быть цель, теперь должна проанализировать системные журналы на предмет подозрительной активности как минимум за 10 месяцев - задача, которая выходит за рамки возможностей многих групп безопасности.
Чтобы помочь организациям определить, были ли их системы взломаны, FireEye и Microsoft опубликовали длинный список «индикаторов взлома» - данных судебной экспертизы, которые могут свидетельствовать о злонамеренных действиях. Индикаторы включают наличие самого Sunburst, а также некоторых IP-адресов, идентифицирующих компьютеры и сети, которые хакеры использовали для связи с ним. Если команда обнаруживает какой-либо из этих IP-адресов в своих сетевых журналах, это настоящий признак плохих новостей. Но поскольку хакеры использовали каждый адрес только один раз, их отсутствие не является гарантией безопасности. Обнаружение того, что они проживают в сети, также не означает, что их легко успешно выселить, поскольку они могут обыскивать сеть в поисках новых укрытий.
Подозреваемые в взломе - из России, главного агентства внешней разведки страны. Известные попеременно как Cozy Bear и APT29, они составили длинный список нарушений, в том числе взлом Национального комитета Демократической партии в 2016 году. Россия отрицает свою причастность.
«Это дало им возможность проникать в крупные сети», - говорит Тоухилл, который в настоящее время является президентом Appgate Federal Group, компании по обеспечению безопасности инфраструктуры. «У них есть возможность сидеть там, поглощать весь трафик, анализировать его. Мы должны уделять пристальное внимание тому, что еще ищут эти актеры? Где еще они могут быть? Где еще они могут прятаться? Если у них есть доступ, они не откажутся от него легко ».
