За прошедшие праздники появилось немало новых деталей, касающихся взлома компании SolarWinds, чья недавняя компрометация привела к серьезным последствиям. Напомню, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности. Информацию об этой масштабной компрометации, которую многие назвали взломом года, мы собрали в одном материале.
В первых числах января представители Министерства юстиции США подтвердили, что Минюст тоже пострадал от взлома SolarWinds. Хуже того, ведомство стало одной из немногих жертв, в сети которой хакеры продолжили развивать атаку и в итоге получили доступу к внутренним почтовым ящикам.
Исходя из того, что штат сотрудников Министерства юстиции оценивается примерно в 100 000 - 115 000 человек, число пострадавших составляет от 3 000 до 3450 человек.
Сообщается, что в настоящее время бэкдор преступников уже обезврежен.
Также в начале января совместное заявление выпустили Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ), Агентство по кибербезопасности и защите инфраструктуры (CISA) и Управление директора национальной разведки (ODNI). Правоохранительные органы заявили, что за компрометаций SolarWinds и ее клиентов, скорее всего, стояла Россия.
Официальные лица говорят, что за этой масштабной атакой на цепочку поставок стоит неназванная APT-группировка «вероятно российского происхождения». Сам взлом SolarWinds чиновники охарактеризовали как «попытку сбора разведданных».
В сущности, совместное заявление агентств повторило информацию, опубликованную изданием Washington Post в декабре прошлого года. Тогда журналисты, со ссылкой на собственные источники, писали, что связывают атаку с известной русскоязычной хак‑группой APT29 (она же Cozy Bear и Dukes), которая, как считают эксперты, действует под эгидой российских властей.
При этом нужно сказать, что специалисты компаний FireEye и Microsoft, изучившие инцидент досконально, не сообщали ничего о возможной атрибуции атаки. Вместо этого FireEye присвоила группировке нейтральное кодовое имя UNC2452 и заявила, что атака не была нацелена конкретно на США.
Издания New York Times и Wall Street Journal опубликовали сообщения, в которых утверждалось, что компания JetBrains находится под следствием из-за возможного участия во взломе компании SolarWinds.
Журналисты, со ссылкой на собственные правительственные источники, писали, что официальные лица США рассматривают сценарий, в ходе которого российские хакеры могли взломать JetBrains, а затем предпринять атаки на ее клиентов, одним из которых является SolarWinds. В частности, исследователи считают, что хакеры могли нацеливаться на продукт TeamCity.
В ответ на это глава JetBrains Максим Шафиров опубликовал пост в блоге компании, в котором рассказал, что в JetBrains никто не знает о якобы ведущемся в отношении компании расследовании, и представители SolarWinds не связывались с JetBrains и не сообщали никаких подробностей об инциденте. Хотя пострадавшая компания действительно использует решение TeamCity.
Источник: xakep.ru/2021/01/11/solarwinds-new-victims/
Взлом Минюста
В первых числах января представители Министерства юстиции США подтвердили, что Минюст тоже пострадал от взлома SolarWinds. Хуже того, ведомство стало одной из немногих жертв, в сети которой хакеры продолжили развивать атаку и в итоге получили доступу к внутренним почтовым ящикам.
Исходя из того, что штат сотрудников Министерства юстиции оценивается примерно в 100 000 - 115 000 человек, число пострадавших составляет от 3 000 до 3450 человек.
Сообщается, что в настоящее время бэкдор преступников уже обезврежен.
Во взломе обвиняют Россию
Также в начале января совместное заявление выпустили Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ), Агентство по кибербезопасности и защите инфраструктуры (CISA) и Управление директора национальной разведки (ODNI). Правоохранительные органы заявили, что за компрометаций SolarWinds и ее клиентов, скорее всего, стояла Россия.
Официальные лица говорят, что за этой масштабной атакой на цепочку поставок стоит неназванная APT-группировка «вероятно российского происхождения». Сам взлом SolarWinds чиновники охарактеризовали как «попытку сбора разведданных».
В сущности, совместное заявление агентств повторило информацию, опубликованную изданием Washington Post в декабре прошлого года. Тогда журналисты, со ссылкой на собственные источники, писали, что связывают атаку с известной русскоязычной хак‑группой APT29 (она же Cozy Bear и Dukes), которая, как считают эксперты, действует под эгидой российских властей.
При этом нужно сказать, что специалисты компаний FireEye и Microsoft, изучившие инцидент досконально, не сообщали ничего о возможной атрибуции атаки. Вместо этого FireEye присвоила группировке нейтральное кодовое имя UNC2452 и заявила, что атака не была нацелена конкретно на США.
Подозрения пали на JetBrains
Издания New York Times и Wall Street Journal опубликовали сообщения, в которых утверждалось, что компания JetBrains находится под следствием из-за возможного участия во взломе компании SolarWinds.
Журналисты, со ссылкой на собственные правительственные источники, писали, что официальные лица США рассматривают сценарий, в ходе которого российские хакеры могли взломать JetBrains, а затем предпринять атаки на ее клиентов, одним из которых является SolarWinds. В частности, исследователи считают, что хакеры могли нацеливаться на продукт TeamCity.
В ответ на это глава JetBrains Максим Шафиров опубликовал пост в блоге компании, в котором рассказал, что в JetBrains никто не знает о якобы ведущемся в отношении компании расследовании, и представители SolarWinds не связывались с JetBrains и не сообщали никаких подробностей об инциденте. Хотя пострадавшая компания действительно использует решение TeamCity.
Источник: xakep.ru/2021/01/11/solarwinds-new-victims/