Сегодня Комиссия по ценным бумагам и биржам США (SEC) предъявила компании SolarWinds обвинение в обмане инвесторов, якобы скрывавших проблемы защиты кибербезопасности перед взломом в декабре 2020 г., связанным с APT29, хакерским подразделением Службы внешней разведки России (СВР).
Эта угрожающая группа организовала атаку на цепочку поставок SolarWinds, которая привела к взлому нескольких федеральных агентств США три года назад.
SEC утверждает, что SolarWinds не уведомила инвесторов о рисках кибербезопасности и неэффективных методах работы, о которых знал ее директор по информационной безопасности Тимоти Г. Браун (также находящийся под судебным преследованием со стороны регулирующих органов). Вместо этого компания, как сообщается, раскрыла инвесторам лишь широкие и теоретические риски.
"Мы утверждаем, что в течение многих лет SolarWinds и Браун игнорировали неоднократные тревожные сигналы о киберрисках SolarWinds, которые были хорошо известны в компании и привели одного из подчиненных Брауна к выводу: "Мы очень далеки от того, чтобы быть компанией, заботящейся о безопасности", - сказал Гурбир С. Грюал, глава Отдела по обеспечению соблюдения законодательства SEC.
"Вместо того чтобы устранить эти уязвимости, SolarWinds и Браун провели кампанию по созданию ложного представления о системе киберконтроля компании, тем самым лишив инвесторов достоверной существенной информации".
Регулятор утверждает, что Браун уже как минимум с 2018 года знал о том, что злоумышленников, которые взломают системы SolarWinds удаленно, будет очень сложно обнаружить, и, согласно презентациям, заявил, что "текущее состояние безопасности оставляет нас в очень уязвимом состоянии для наших критически важных активов" и что "доступ и привилегии к критическим системам/данным неправомерны".
В июне 2020 года Браун также выразил опасения, что злоумышленники могут использовать программное обеспечение Orion компании SolarWinds (которое было троянизировано российскими хакерами для взлома систем клиентов несколько месяцев спустя) в качестве инструмента для будущих атак, поскольку внутренние системы компании не являются "устойчивыми".
За два месяца до атаки, как утверждает SEC, во внутреннем документе SolarWinds было указано, что инженерные команды уже не справляются с длинным списком новых проблем безопасности, которые им приходится решать.
"Вызывает тревогу тот факт, что Комиссия по ценным бумагам и биржам (SEC) возбудила против нас, как мы считаем, ошибочное и неправомерное исполнительное производство, представляющее собой регрессивный набор взглядов и действий, не соответствующих прогрессу, которого требует отрасль и который поощряет правительство", - заявил президент и главный исполнительный директор компании Судхакар Рамакришна в ответ на обвинения SEC.
"Мы сделали сознательный выбор в пользу откровенных и частых выступлений с целью поделиться тем, что мы узнали, чтобы помочь другим стать более защищенными. Мы тесно сотрудничали с правительством и призывали другие компании быть более открытыми в вопросах безопасности, делясь информацией и передовым опытом".
"Обвинения SEC ставят под угрозу открытый обмен информацией в отрасли, который, по мнению экспертов по кибербезопасности, необходим для обеспечения нашей общей безопасности".
Ранее в этом году Комиссия по ценным бумагам и биржам США направила руководителям компании SolarWinds, включая финансового директора и директора по связям с общественностью, уведомления, связанные с расследованием утечки информации в 2020 году. Эти уведомления информировали получателей о том, что сотрудники SEC выступают за возбуждение гражданского иска против них, обвиняя в нарушении федерального законодательства США о ценных бумагах.
Российская угрожающая группа APT29 проникла во внутренние системы компании SolarWinds и троянизировала платформу ИТ-администрирования SolarWinds Orion и последующие сборки, выпущенные в период с марта 2020 года по июнь 2020 года.
Вредоносные сборки использовались для установки бэкдора Sunburst на системы "менее 18 000" жертв. Однако для второго этапа эксплуатации злоумышленники выбирали значительно меньшее число целей.
Компания SolarWinds утверждает, что ее клиентами являются более 300 000 компаний по всему миру, 96% компаний из списка Fortune 500, включая все десять крупнейших телекоммуникационных компаний США, Apple, Google, Amazon, а также большой список государственных учреждений (таких как вооруженные силы США, Пентагон, Государственный департамент, NASA, NSA, Почтовая служба, NOAA, Министерство юстиции США и Управление делами Президента США).
Обновление 30 октября, 18:14 EDT: Представитель компании SolarWinds после публикации статьи прислал следующее заявление:
Мы разочарованы необоснованными обвинениями SEC, связанными с российской кибератакой на американскую компанию, и глубоко обеспокоены тем, что эти действия ставят под угрозу нашу национальную безопасность. Решение Комиссии по ценным бумагам и биржам США сфабриковать иск против нас и нашего CISO является еще одним примером превышения полномочий агентства и должно встревожить все публичные компании и профессионалов в области кибербезопасности по всей стране. Мы надеемся выяснить истину в суде и продолжить поддержку наших заказчиков в соответствии с нашими обязательствами Secure by Design".
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
