Идеальный троянский конь
Представьте: вы — хакер. Ваша цель — проникнуть в Пентагон, Министерство финансов США, Microsoft, Intel и ещё тысячи компаний и ведомств. Каждая из этих организаций потратила миллионы на защиту — файрволы, IDS, SOC-центры, пентесты.
Лобовая атака? Безнадёжно. Фишинг? Может сработать на нескольких сотрудниках, но не на тысячах организаций одновременно.
А что если подменить обновление продукта, который все они сами добровольно устанавливают? Продукта, которому они доверяют?
Именно это случилось с SolarWinds Orion. И это стало самой масштабной атакой на цепочку поставок в истории.
SolarWinds Orion: невидимая артерия
SolarWinds — техасская компания, основанная в 1999 году. Их флагманский продукт Orion — платформа для мониторинга IT-инфраструктуры. Серверы, сети, приложения — Orion видит всё и сообщает администраторам о проблемах.
К 2020 году Orion использовали более 300 000 организаций. Среди клиентов — все пять ветвей вооружённых сил США, Министерство внутренней безопасности, Государственный департамент, АНБ, Microsoft, Intel, Cisco, Deloitte.
Orion по своей природе имеет привилегированный доступ ко всей инфраструктуре клиента. Чтобы мониторить — нужно видеть всё. Это делало его идеальной мишенью.
Внедрение: октябрь 2019 — март 2020
Хакеры начали с инфраструктуры самой SolarWinds. Как именно они проникли — до конца не установлено. Одна из версий: через скомпрометированные учётные записи. Другая — через уязвимости внутренних систем.
Оказавшись внутри, они добрались до системы сборки ПО — конвейера, который компилирует исходный код и создаёт обновления для клиентов. И тут началась ювелирная работа.
Хакеры внедрили бэкдор в исходный код Orion. Но не грубо — они написали код, который стилистически неотличим от легитимного кода SolarWinds. Они изучили стиль программирования компании и идеально его скопировали.
Бэкдор получил название SUNBURST. Крошечный фрагмент вредоносного кода, спрятанный в модуле SolarWinds.Orion.Core.BusinessLayer.dll.
Март 2020: обновление выходит
Весной 2020 года SolarWinds выпустила обновление Orion версии 2019.4 HF 5 и 2020.2. Обновление прошло цифровую подпись самой SolarWinds — оно было легитимным с точки зрения всех систем проверки. Потому что было скомпилировано на реальных серверах компании.
18 000 организаций скачали и установили это обновление.
После установки SUNBURST выжидал 12–14 дней — чтобы усыпить бдительность песочниц и систем обнаружения. Затем начинал связываться с командным сервером, маскируя трафик под обычные DNS-запросы к домену avsvmcloud.com.
Командный сервер решал, какие из 18 000 жертв интересны. На большинство машин бэкдор просто засыпал. На избранных — активировал вторую фазу: Teardrop, Raindrop и другие инструменты, дающие хакерам полный контроль.
9 месяцев невидимости
С марта по декабрь 2020 года хакеры действовали внутри сетей крупнейших организаций мира. Девять месяцев. Никто не замечал.
Они читали электронную почту высокопоставленных чиновников. Получали доступ к внутренним документам. Могли наблюдать за работой Министерства финансов, Министерства торговли и Национального управления ядерной безопасности (NNSA).
Они не шумели. Не воровали деньги. Не шифровали данные. Это не были вирусы-вымогатели. Это был классический шпионаж — тихий, методичный, невидимый.
Обнаружение: декабрь 2020
8 декабря 2020 года компания FireEye (ныне Mandiant) обнаружила, что их собственные инструменты пентестирования украдены. В ходе расследования аналитики FireEye обнаружили SUNBURST.
13 декабря FireEye опубликовала отчёт. Мир кибербезопасности взорвался.
CISA (Агентство по кибербезопасности и инфраструктуре США) выпустило экстренную директиву — впервые в истории — с требованием немедленно отключить все экземпляры SolarWinds Orion.
Но было поздно. Хакеры уже были внутри. Девять месяцев внутри.
Масштаб поражения
Расследование показало поражающие масштабы:
- Министерство финансов США — скомпрометированы почтовые ящики высших чиновников.
- Министерство торговли — отслеживались внутренние коммуникации.
- Пентагон — затронуты подразделения, связанные с оборонными контрактами.
- Microsoft — хакеры получили доступ к исходному коду некоторых продуктов.
- NNSA — агентство, управляющее ядерным арсеналом США.
- Сотни частных компаний — от Intel и Cisco до больниц и университетов.
Полная стоимость инцидента оценивается от $12 до $100 миллиардов — в зависимости от методологии подсчёта.
Кто стоит за атакой
Расследование спецслужб США показало, что за взломом стояла элитная хакерская группировка, спонсируемая на государственном уровне (так называемая APT — Advanced Persistent Threat). Уровень подготовки злоумышленников был беспрецедентным. Это была операция киберразведки высшего эшелона.
К 2026 году полный объём украденных данных всё ещё не установлен, а расследование продолжается.
Уроки цепочки поставок
SolarWinds — это не история о плохом пароле или забытом обновлении. Это история о доверии.
Каждая организация доверяла SolarWinds. SolarWinds подписала обновление своим сертификатом. Все системы защиты пропустили его — потому что оно было настоящим. Настоящее обновление. Настоящая подпись. Настоящий бэкдор.
18 000 организаций. 9 месяцев невидимости. Один скомпрометированный конвейер сборки.
SolarWinds показал: в современном мире ваша безопасность равна безопасности вашего самого слабого поставщика. Вы можете потратить миллиарды на защиту — но если ваш вендор софта скомпрометирован, вы уже взломаны. И, возможно, даже не знаете об этом.
Когда в следующий раз всплывёт окно «Доступно обновление» — задумайтесь на секунду: а что, если в этом обновлении уже сидит кто-то ещё?
Доверяете ли вы обновлениям ПО? Проверяет ли ваша компания цепочку поставок софта? Или «от проверенного вендора» — ваш единственный критерий? Делитесь своими фатальными сбоями в комментариях!
👉 Подписывайтесь на Сбой Системы — здесь технологии ломаются красиво.
#кибербезопасность #хакеры #информационная_безопасность #it #технологии #шпионаж #программирование #вирусы #защита_информации #сисадмин
