Εξήγηση: Πώς η κυβερνοεπίθεση της SolarWinds έπληξε τη Microsoft

Η Microsoft δεν έχει επιβεβαιώσει τον πηγαίο κώδικα που είχαν πρόσβαση οι χάκερ. Ωστόσο, το γεγονός ότι οι χάκερ μπήκαν τόσο βαθιά είναι αρκετά ανησυχητικό, δεδομένου του πηγαίου κώδικα είναι ζωτικής σημασίας για το πώς λειτουργεί οποιοδήποτε κομμάτι λογισμικού.

Στόχος της κυβερνοεπίθεσης ήταν το Orion, ένα λογισμικό που παρείχε η εταιρεία SolarWinds. (Φωτογραφία του Reuters)

Στο πλαίσιο των συνεχιζόμενων ερευνών της για την κυβερνοεπίθεση της SolarWinds, η Microsoft αποκάλυψε ότι ο εσωτερικός πηγαίος κώδικας της ήταν πιθανόν να είχε πρόσβαση στους εισβολείς. Η εταιρεία είχε επιβεβαιώσει νωρίτερα ότι ήταν επίσης σε κίνδυνο, είναι αυτό που θεωρείται μια από τις μεγαλύτερες κυβερνοεπίθεση στον κόσμο, που στόχευε κυρίως την κυβέρνηση των Ηνωμένων Πολιτειών (ΗΠΑ) και αρκετούς άλλους ιδιωτικούς οργανισμούς. Η κυβερνοεπίθεση SolarWinds αποκαλύφθηκε για πρώτη φορά τον Δεκέμβριο από την εταιρεία κυβερνοασφάλειας FireEye.

Ρίχνουμε μια ματιά στο τι αποκάλυψε η τελευταία έρευνα της Microsoft και τι σημαίνει.

Τι αποκάλυψε η Microsoft στις νέες της έρευνες;

Σύμφωνα με μια επίσημη ανάρτηση ιστολογίου της εταιρείας, η ερευνητική ομάδα εσωτερικής ασφάλειας της Microsoft βρήκε στοιχεία ότι οι εισβολείς είχαν πρόσβαση σε κάποιον εσωτερικό πηγαίο κώδικα στα συστήματα της εταιρείας. Το «Συμβάν του Solorigate», όπως το ονόμασε η Microsoft στο ιστολόγιο, έδειξε ότι επιχειρήθηκαν δραστηριότητες πέρα ​​από την παρουσία κακόβουλου κώδικα SolarWinds στο περιβάλλον μας.

Εντοπίσαμε ασυνήθιστη δραστηριότητα με μικρό αριθμό εσωτερικών λογαριασμών και μετά από έλεγχο, ανακαλύψαμε ότι ένας λογαριασμός είχε χρησιμοποιηθεί για την προβολή του πηγαίου κώδικα σε έναν αριθμό αποθετηρίων πηγαίου κώδικα. Σύμφωνα με την ανάρτηση, ο λογαριασμός δεν διέθετε απαιτούμενα δικαιώματα πρόσβασης στον κωδικό, τροποποίησης του, ούτε είχε εξουσιοδότηση για πρόσβαση στα συστήματα μηχανικής.

Η εταιρεία λέει ότι μέχρι στιγμής η έρευνα επιβεβαίωσε ότι δεν έγιναν αλλαγές σε αυτόν τον πηγαίο κώδικα. Αυτοί οι λογαριασμοί ερευνήθηκαν και αποκαταστάθηκαν, προσθέτει η εταιρεία.

Τι σημαίνει αυτό?

μελλοντική καθαρή αξία

Η Microsoft δεν έχει επιβεβαιώσει τον πηγαίο κώδικα που είχαν πρόσβαση οι χάκερ. Ωστόσο, το γεγονός ότι οι χάκερ μπήκαν τόσο βαθιά είναι αρκετά ανησυχητικό, δεδομένου του πηγαίου κώδικα είναι ζωτικής σημασίας για το πώς λειτουργεί οποιοδήποτε κομμάτι λογισμικού. Ο πηγαίος κώδικας είναι το κλειδί για τον τρόπο κατασκευής ενός προϊόντος λογισμικού και εάν παραβιαστεί μπορεί να το αφήσει ανοιχτό σε νέους, άγνωστους κινδύνους. Οι χάκερ θα μπορούσαν να χρησιμοποιήσουν αυτές τις πληροφορίες για να εκμεταλλευτούν οποιαδήποτε πιθανή αδυναμία των προγραμμάτων.

Η Microsoft λέει ότι αυτή η δραστηριότητα δεν έχει θέσει σε κίνδυνο την ασφάλεια των υπηρεσιών μας ή οποιωνδήποτε δεδομένων πελατών, αλλά προσθέτει ότι πιστεύει ότι αυτή η επίθεση πραγματοποιήθηκε από έναν πολύ εξελιγμένο παράγοντα των εθνικών κρατών. Η εταιρεία λέει ότι δεν υπάρχουν στοιχεία ότι τα συστήματά της χρησιμοποιήθηκαν για να επιτεθούν σε άλλους.

Τι άλλο αποκάλυψε η Microsoft;

Η Microsoft λέει ότι βασίζεται σε βέλτιστες πρακτικές ανάπτυξης λογισμικού ανοιχτού κώδικα και σε μια κουλτούρα που μοιάζει με ανοιχτό κώδικα για την ανάπτυξη λογισμικού. Συνήθως, ο πηγαίος κώδικας είναι ορατός από ομάδες εντός της Microsoft, σύμφωνα με το ιστολόγιο. Η εταιρεία σημειώνει επίσης ότι τα μοντέλα απειλών της υποθέτουν ότι οι εισβολείς έχουν γνώση του πηγαίο κώδικα. Η Microsoft υποβαθμίζει τον κίνδυνο λέγοντας ότι η απλή προβολή του πηγαίου κώδικα δεν πρέπει να προκαλεί νέους αυξημένους κινδύνους.

Η Microsoft λέει ότι διαθέτει πολλές αμυντικές προστασίες για να σταματήσει τους εισβολείς εάν και όταν αποκτήσουν πρόσβαση. Λέει ότι υπάρχουν ενδείξεις ότι οι δραστηριότητες των χάκερ ματαιώθηκαν από τις υπάρχουσες προστασίες της εταιρείας.

Ο τεχνολογικός γίγαντας λέει ότι θα παρέχει πρόσθετες ενημερώσεις εάν λάβει νέες πληροφορίες.

Τι άλλο έχει αποκαλυφθεί σε αυτό το hack της SolarWinds;

Το πρόβλημα με αυτήν την κυβερνοεπίθεση είναι ότι συνεχίζεται για τόσο καιρό που η πλήρης κλίμακα παραμένει άγνωστη. Στην πραγματικότητα, η επίθεση μπορεί να ξεκίνησε νωρίτερα από την περασμένη άνοιξη, όπως πίστευαν παλαιότερα. Ο Δημοκρατικός γερουσιαστής Μαρκ Γουόρνερ από τη Βιρτζίνια, ο οποίος υπηρετεί ως Αντιπρόεδρος της Επιτροπής Πληροφοριών της Γερουσίας, δήλωσε στο Reuters σε συνέντευξή του ότι η επίθεση πιθανότατα ξεκίνησε πολύ νωρίτερα. Είπε επίσης ότι αυτή τη στιγμή η αμερικανική κυβέρνηση δεν διαθέτει αδιάσειστα στοιχεία ότι τα απόρρητα κυβερνητικά μυστικά παραβιάστηκαν από τους χάκερ, σύμφωνα με την έκθεση του Reuters.

Το μέγεθος της επίθεσης παραμένει επίσης άγνωστο, σύμφωνα με τις περισσότερες αναφορές. Εν τω μεταξύ, το FireEye, το οποίο ανακάλυψε την επίθεση, αποκάλυψε νέες λεπτομέρειες σχετικά με το κακόβουλο λογισμικό Sunburst. Το κακόβουλο λογισμικό εκμεταλλεύτηκε το λογισμικό SolarWinds Orion, το οποίο χρησιμοποιείται από χιλιάδες εταιρείες, συμπεριλαμβανομένων αρκετών κρατικών υπηρεσιών των ΗΠΑ.

οικογένεια Keith Morrison

Σύμφωνα με το FireEye, το Sunburst - μια κακόβουλη έκδοση μιας ψηφιακά υπογεγραμμένης προσθήκης SolarWinds Orion - περιέχει μια κερκόπορτα που επικοινωνεί μέσω HTTP με διακομιστές τρίτων. Φαίνεται ότι η προσθήκη παραμένει αδρανής περίοδος έως και δύο εβδομάδων, μετά την οποία αρχίζει να εκτελεί εντολές και να εκτελεί εργασίες όπως μεταφορά αρχείων, εκτέλεση αρχείων, προφίλ του συστήματος, επανεκκίνηση του συστήματος και απενεργοποίηση υπηρεσιών συστήματος.

Φαίνεται επίσης ότι το κακόβουλο λογισμικό εκτελεί πολυάριθμους ελέγχους για να διασφαλίσει ότι δεν υπάρχουν εργαλεία ανάλυσης, σύμφωνα με το FireEye. Αυτή η προσεκτική προσέγγιση είναι που βοήθησε το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό από λογισμικό προστασίας από ιούς και εγκληματολογικούς ερευνητές για επτά μήνες μετά την εισαγωγή του στην αλυσίδα εφοδιασμού SolarWinds Orion, σύμφωνα με την εταιρεία κυβερνοασφάλειας.

Μοιράσου Το Με Τους Φίλους Σου: