Magyarázat: Hatalmas kibertámadás az Egyesült Államokban, újszerű eszközök felhasználásával
Az egyik legnagyobb kibertámadás, amely az amerikai kormányhivatalokat és magáncégeket célozta, a „SolarWinds hack” valószínűleg globális erőfeszítésnek tekinthető. Hogyan hajtották végre, és milyen adatok kerültek veszélybe? Miért nevezték meg az amerikai kormánytisztviselők és politikusok Oroszországot?
A kibertámadás célpontja az Orion, a SolarWinds cég által szállított szoftver volt. (Reuters fotó) A „SolarWinds hack”, egy kibertámadás, amelyet nemrég fedeztek fel az Egyesült Államokban, az egyik a legnagyobb valaha célpontja az Egyesült Államok kormánya, annak ügynökségei és számos más magáncég. Valójában ez egy globális kibertámadás.
Először a FireEye amerikai kiberbiztonsági vállalat fedezte fel, és azóta is napról napra újabb fejlesztések kerülnek napvilágra. A kibertámadás puszta mértéke továbbra is ismeretlen, bár a feltételezések szerint az Egyesült Államok Pénzügyminisztériuma, Belbiztonsági Minisztériuma, Kereskedelmi Minisztériuma, valamint a Pentagon egyes részei érintettek.
Egy véleménycikk számára írva A New York Times Thomas P Bossert, aki Donald Trump elnök belbiztonsági tanácsadója volt, Oroszországot nevezte ki a támadásért. A SolarWinds támadási pontokban bizonyítékot írt az SVR néven ismert orosz hírszerző ügynökségre, amelynek kereskedelmi eszközei az egyik legfejlettebbek a világon. A Kreml tagadta részvételét.
Szóval, mi ez a „SolarWinds hack”?
A kibertámadásról szóló hír technikailag először december 8-án robbant fel, amikor a FireEye közzétett egy blogot, amely a rendszerei elleni támadást észlelt. A cég számos nagy magáncég és szövetségi kormányzati szerv biztonsági kezelésében segít.
A FireEye vezérigazgatója, Kevin Mandia azt írta egy blogbejegyzésében, hogy a céget egy rendkívül kifinomult fenyegetési szereplő támadta meg, és azt államilag támogatott támadásnak nevezte, bár Oroszországot nem nevezte meg. A támadást egy olyan nemzet hajtotta végre, amely a legmagasabb szintű támadóképességekkel rendelkezik, és a támadó elsősorban bizonyos kormányzati ügyfelekkel kapcsolatos információkat keresett. Azt is elmondta, hogy a támadók által alkalmazott módszerek újszerűek.
Aztán december 13-án a FireEye azt mondta, hogy a kibertámadás, amelynek elnevezése Campaign UNC2452, nem a vállalatot érinti, hanem különféle állami és magánszervezeteket céloz meg szerte a világon. A kampány valószínűleg 2020 márciusában kezdődött, és hónapok óta tart. Ami még rosszabb, az ellopott vagy feltört adatok mértéke még mindig ismeretlen, mivel a támadás mértékét még mindig felderítik. A rendszerek kompromittálódása után oldalirányú mozgás és adatlopás történt.
CSATLAKOZZ MOST :Az Express Explained Telegram csatornaHogyan támadtak meg annyi amerikai kormányzati ügynökséget és vállalatot?
Ezt „ellátási lánc” támadásnak nevezik: Ahelyett, hogy közvetlenül a szövetségi kormányt vagy egy magánszervezet hálózatát támadnák, a hackerek egy harmadik fél gyártót vesznek célba, amely szoftvert szállít nekik. Ebben az esetben a texasi SolarWinds cég által szállított Orion nevű informatikai menedzsment szoftver volt a célpont.
Az Orion a SolarWinds domináns szoftvere volt olyan ügyfelekkel, akik között több mint 33 000 vállalat vesz részt. A SolarWinds szerint 18 000 ügyfelét érintette. A cég egyébként törölte hivatalos honlapjairól az ügyfelek listáját.
A Google webarchívumából is kitisztított oldal szerint a listán 425 cég szerepel a Fortune 500-ban, amely az Egyesült Államok legjobb 10 távközlési szolgáltatója. A New York Times jelentése szerint a Pentagon, a Betegségellenőrzési és Megelőzési Központ, a Külügyminisztérium, az Igazságügyi Minisztérium és mások egyes részei érintettek.
A Microsoft megerősítette, hogy bizonyítékot talált a rosszindulatú programokra a rendszereiken, bár hozzátette, nincs bizonyíték a termelési szolgáltatásokhoz vagy az ügyfelek adataihoz való hozzáférésre, vagy arra, hogy rendszereit mások támadására használták volna. A Microsoft elnöke, Brad Smith elmondta, hogy a vállalat több mint 40 ügyfelet értesített arról, hogy a támadók pontosabban céloztak és kompromittálták.
A Reuters jelentése szerint még a Belbiztonsági Minisztérium tisztviselői által küldött e-maileket is figyelték a hackerek.
Hogyan jutottak hozzá?
A FireEye szerint a hackerek a SolarWinds Orion IT felügyeleti és felügyeleti szoftverének trójai frissítései révén jutottak hozzá az áldozatokhoz. Alapvetően egy szoftverfrissítést használtak ki a „Sunburst” kártevő telepítésére az Orionba, amelyet aztán több mint 17 000 ügyfél telepített.
A FireEye szerint a támadók többféle technikára támaszkodtak, hogy elkerüljék az észlelést és elfedjék tevékenységüket. A rosszindulatú program képes volt hozzáférni a rendszerfájlokhoz. A FireEye szerint a kártevő javára működött, hogy képes volt beleolvadni a SolarWinds legitim tevékenységébe.
A telepítést követően a rosszindulatú program egy hátsó ajtón keresztül bejutott a hackerekbe a SolarWinds ügyfeleinek rendszereibe és hálózataiba. Ennél is fontosabb, hogy a rosszindulatú program olyan eszközöket is meg tudott akadályozni, mint például a vírusirtó, amely képes volt észlelni.
Hol jön be Oroszország?
A NYT véleménycikkében Bossert Oroszországot és annak ügynökségét, az SVR-t nevezte meg, amely képes ilyen találékony és léptékű támadás végrehajtására.
A Microsoft a blogjában megjegyzi, hogy a támadás ezen aspektusa szinte globális jelentőségű ellátási lánc sérülékenységet hozott létre, amely Oroszországon kívül számos nagy nemzeti fővárost is elért. Hozzáteszi, hogy általánossá váltak az oroszországi kifinomult támadások.
A FireEye azonban még nem nevezte meg Oroszországot a felelősként, és azt mondta, hogy folyamatban van a vizsgálat az FBI-val, a Microsofttal és más kulcsfontosságú partnerekkel, akiket nem neveznek meg.
|Hogyan védik a nőket a koronavírust átengedő fehérjeMit mondott a SolarWinds és az Egyesült Államok kormánya a feltörésről?
Jelenleg a SolarWinds azt javasolja minden vásárlónak, hogy azonnal frissítse a meglévő Orion platformot, amely javítja ezt a kártevőt. Ha támadói tevékenységet fedeznek fel egy környezetben, azt javasoljuk, hogy folytassanak le egy átfogó vizsgálatot, és dolgozzanak ki és hajtsanak végre egy olyan helyreállítási stratégiát, amelyet a vizsgálati eredmények és az érintett környezet részletei vezérelnek.
Azoknak, akik nem tudnak frissíteni, azt mondják, hogy izolálják a SolarWinds szervereket, és ennek tartalmaznia kell a SolarWinds szerverek összes internetes kilépésének blokkolását. A minimális javaslat a SolarWinds szerverekhez/infrastruktúrához hozzáféréssel rendelkező fiókok jelszavainak megváltoztatása.
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) kiadott egy 21-01 számú vészhelyzeti irányelvet, amelyben felkéri az összes szövetségi polgári ügynökséget, hogy vizsgálják felül hálózataikat a kompromisszumra utaló jelek szempontjából. Arra kérte őket, hogy azonnal kapcsolják le vagy kapcsolják ki a SolarWinds Orion termékeket.
Az FBI, a CISA és a Nemzeti Hírszerzési Igazgató hivatala közös nyilatkozatot adott ki, és bejelentette az úgynevezett „Kiber Egységes Koordinációs Csoportot (UCG) a válságra adott kormányzati válaszok összehangolása érdekében. A közlemény ezt jelentős és folyamatos kiberbiztonsági kampánynak nevezi.
A Fehér Ház és Donald Trump elnök hallgatott. Mitt Romney szenátor a SiriusXM rádió Olivier Knox újságírójához fűzött megjegyzéseiben foglalta össze ezt a legjobban, ahol ezt a támadást ahhoz az egyenértékű orosz bombázóhoz hasonlította, amely észrevétlenül repül szerte az országban, felfedve az Egyesült Államok kiberhadviselés gyengeségét. Azt mondta, hogy a Fehér Ház hallgatása és tétlensége megbocsáthatatlan.
Richard Blumenthal demokrata szenátor a Twitteren azt írta: Oroszország kibertámadása mélységesen megrémített, sőt egyenesen megijesztett.
Joe Biden megválasztott elnök közleményében kijelentette: a jó védekezés nem elég; Elsősorban meg kell zavarnunk és elriasztanunk ellenfeleinket a jelentős kibertámadásoktól.
Oszd Meg A Barátaiddal:
