Εξήγηση: Μια μαζική κυβερνοεπίθεση στις ΗΠΑ, χρησιμοποιώντας ένα νέο σύνολο εργαλείων - Οκτώβριος 2022

Μία από τις μεγαλύτερες επιθέσεις στον κυβερνοχώρο που στόχευσαν κυβερνητικές υπηρεσίες και ιδιωτικές εταιρείες των ΗΠΑ, η «παραβίαση του SolarWinds» θεωρείται πιθανή παγκόσμια προσπάθεια. Πώς πραγματοποιήθηκε και τι είδους δεδομένα έχουν παραβιαστεί; Γιατί οι αξιωματούχοι και οι πολιτικοί των ΗΠΑ ονόμασαν τη Ρωσία;

SolarWinds, SolarWinds hack, us cyberattack, fireeye, ρωσική κυβερνοεπίθεση εναντίον μας, εξήγησε η Indian ExpressΣτόχος της κυβερνοεπίθεσης ήταν το Orion, ένα λογισμικό που παρείχε η εταιρεία SolarWinds. (Φωτογραφία του Reuters)

Το «SolarWinds hack», μια κυβερνοεπίθεση που ανακαλύφθηκε πρόσφατα στις Ηνωμένες Πολιτείες, έχει εμφανιστεί ως ένα από το μεγαλύτερο ποτέ στόχευση της αμερικανικής κυβέρνησης, των υπηρεσιών της και πολλών άλλων ιδιωτικών εταιρειών. Στην πραγματικότητα, πρόκειται για μια παγκόσμια κυβερνοεπίθεση.



Ανακαλύφθηκε για πρώτη φορά από την αμερικανική εταιρεία κυβερνοασφάλειας FireEye και έκτοτε περισσότερες εξελίξεις συνεχίζουν να έρχονται στο φως καθημερινά. Η τεράστια κλίμακα της κυβερνοεπίθεσης παραμένει άγνωστη, αν και πιστεύεται ότι έχουν επηρεαστεί το Υπουργείο Οικονομικών των ΗΠΑ, το Υπουργείο Εσωτερικής Ασφάλειας, το Υπουργείο Εμπορίου και τμήματα του Πενταγώνου.

Σε μια κομμάτι γνώμης γραμμένο για Οι Νιου Γιορκ Ταιμς , ο Thomas P Bossert, ο οποίος ήταν σύμβουλος Εσωτερικής Ασφάλειας του Προέδρου Ντόναλντ Τραμπ, κατονόμασε τη Ρωσία για την επίθεση. Έγραψε αποδεικτικά στοιχεία στην επίθεση της SolarWinds που παραπέμπουν στη ρωσική υπηρεσία πληροφοριών γνωστή ως SVR, της οποίας τα τεχνικά σκάφη είναι από τα πιο προηγμένα στον κόσμο. Το Κρεμλίνο έχει αρνηθεί τη συμμετοχή του.





Λοιπόν, τι είναι αυτό το «SolarWinds hack»;

Η είδηση ​​της κυβερνοεπίθεσης τεχνικά κυκλοφόρησε για πρώτη φορά στις 8 Δεκεμβρίου, όταν η FireEye δημοσίευσε ένα blog που ανιχνεύει επίθεση στα συστήματά της. Η εταιρεία βοηθά στη διαχείριση της ασφάλειας πολλών μεγάλων ιδιωτικών εταιρειών και ομοσπονδιακών κρατικών υπηρεσιών.

Ο Διευθύνων Σύμβουλος της FireEye, Kevin Mandia, έγραψε σε ένα blogpost λέγοντας ότι η εταιρεία δέχτηκε επίθεση από έναν εξαιρετικά εξελιγμένο παράγοντα απειλών, αποκαλώντας την επίθεση που χρηματοδοτείται από το κράτος, αν και δεν κατονόμασε τη Ρωσία. Ανέφερε ότι η επίθεση πραγματοποιήθηκε από ένα έθνος με κορυφαίες επιθετικές ικανότητες και ο εισβολέας αναζητούσε κυρίως πληροφορίες σχετικά με ορισμένους κυβερνητικούς πελάτες. Είπε επίσης ότι οι μέθοδοι που χρησιμοποιήθηκαν από τους επιτιθέμενους ήταν πρωτότυπες.



Στη συνέχεια, στις 13 Δεκεμβρίου η FireEye είπε ότι η κυβερνοεπίθεση, την οποία ονόμασε Campaign UNC2452, δεν περιοριζόταν στην εταιρεία αλλά είχε στοχεύσει διάφορους δημόσιους και ιδιωτικούς οργανισμούς σε όλο τον κόσμο. Η εκστρατεία πιθανότατα ξεκίνησε τον Μάρτιο του 2020 και συνεχίζεται εδώ και μήνες, ανέφερε η ανάρτηση. Ακόμη χειρότερα, η έκταση των δεδομένων που έχουν κλαπεί ή παραβιαστεί είναι ακόμα άγνωστη, δεδομένου ότι η κλίμακα της επίθεσης εξακολουθεί να ανακαλύπτεται. Μετά την παραβίαση των συστημάτων, έλαβε χώρα πλευρική μετακίνηση και κλοπή δεδομένων.

ΠΑΡΕ ΜΕΡΟΣ ΤΩΡΑ :Το Express Explained Channel Telegram

Πώς δέχθηκαν επίθεση τόσες πολλές κυβερνητικές υπηρεσίες και εταιρείες των ΗΠΑ;




jake gyllenhaal αυτοκίνητο

Αυτό ονομάζεται επίθεση «Supply Chain»: Αντί να επιτεθούν απευθείας στην ομοσπονδιακή κυβέρνηση ή στο δίκτυο ενός ιδιωτικού οργανισμού, οι χάκερ στοχεύουν έναν τρίτο προμηθευτή, ο οποίος τους προμηθεύει λογισμικό. Σε αυτήν την περίπτωση, ο στόχος ήταν ένα λογισμικό διαχείρισης πληροφορικής που ονομάζεται Orion, που παρέχεται από την εταιρεία SolarWinds με έδρα το Τέξας.

Το Orion είναι ένα κυρίαρχο λογισμικό της SolarWinds με πελάτες, οι οποίοι περιλαμβάνουν περισσότερες από 33.000 εταιρείες. Η SolarWinds λέει ότι 18.000 από τους πελάτες της έχουν επηρεαστεί. Παρεμπιπτόντως, η εταιρεία έχει διαγράψει τη λίστα των πελατών από τις επίσημες ιστοσελίδες της.



Σύμφωνα με τη σελίδα, η οποία έχει επίσης διαγραφεί από τα Αρχεία Ιστού της Google, η λίστα περιλαμβάνει 425 εταιρείες στο Fortune 500, τις 10 κορυφαίες εταιρείες τηλεπικοινωνιών στις ΗΠΑ. Μια αναφορά των New York Times ανέφερε ότι τμήματα του Πενταγώνου, των Κέντρων Ελέγχου και Πρόληψης Νοσημάτων, του Στέιτ Ντιπάρτμεντ, του Υπουργείου Δικαιοσύνης και άλλων, επηρεάστηκαν όλα.

Η Microsoft επιβεβαίωσε ότι βρήκε στοιχεία για το κακόβουλο λογισμικό στα συστήματά της, αν και πρόσθεσε ότι δεν υπάρχουν στοιχεία πρόσβασης σε υπηρεσίες παραγωγής ή δεδομένα πελατών ή ότι τα συστήματά της χρησιμοποιήθηκαν για επίθεση σε άλλους. Ο πρόεδρος της Microsoft Μπραντ Σμιθ είπε ότι η εταιρεία έχει αρχίσει να ειδοποιεί περισσότερους από 40 πελάτες ότι οι επιτιθέμενοι στόχευσαν με μεγαλύτερη ακρίβεια και συμβιβάστηκαν.



Μια αναφορά του Reuters ανέφερε ότι ακόμη και τα email που στάλθηκαν από αξιωματούχους του Υπουργείου Εσωτερικής Ασφάλειας παρακολουθούνταν από τους χάκερ.

Πώς απέκτησαν πρόσβαση;



Σύμφωνα με το FireEye, οι χάκερ απέκτησαν πρόσβαση στα θύματα μέσω trojanized ενημερώσεων στο λογισμικό παρακολούθησης και διαχείρισης IT Orion της SolarWinds. Βασικά, έγινε εκμετάλλευση μιας ενημέρωσης λογισμικού για την εγκατάσταση του κακόβουλου λογισμικού «Sunburst» στο Orion, το οποίο στη συνέχεια εγκαταστάθηκε από περισσότερους από 17.000 πελάτες.


andrew taggart wiki

Το FireEye λέει ότι οι επιτιθέμενοι βασίστηκαν σε πολλαπλές τεχνικές για να αποφύγουν τον εντοπισμό τους και να κρύψουν τη δραστηριότητά τους. Το κακόβουλο λογισμικό είχε τη δυνατότητα πρόσβασης στα αρχεία συστήματος. Αυτό που λειτούργησε προς όφελος του κακόβουλου λογισμικού ήταν ότι μπόρεσε να συνδυαστεί με τη νόμιμη δραστηριότητα της SolarWinds, σύμφωνα με το FireEye.

Μόλις εγκατασταθεί, το κακόβουλο λογισμικό έδωσε στους χάκερ μια είσοδο στα συστήματα και τα δίκτυα των πελατών της SolarWinds. Το πιο σημαντικό, το κακόβουλο λογισμικό ήταν επίσης σε θέση να εμποδίσει εργαλεία όπως το anti-virus που θα μπορούσε να το εντοπίσει.

Πού μπαίνει η Ρωσία;

Στο άρθρο γνώμης του στους NYT, ο Bossert ονόμασε τη Ρωσία και την αντιπροσωπεία της SVR, η οποία έχει τις δυνατότητες να εκτελέσει την επίθεση τέτοιας εφευρετικότητας και κλίμακας.

Η Microsoft σημειώνει στο blog της ότι αυτή η πτυχή της επίθεσης δημιούργησε μια ευπάθεια στην εφοδιαστική αλυσίδα σχεδόν παγκόσμιας σημασίας, φτάνοντας σε πολλές μεγάλες εθνικές πρωτεύουσες εκτός Ρωσίας. Συνεχίζει προσθέτοντας ότι οι εξελιγμένες επιθέσεις από τη Ρωσία έχουν γίνει συνηθισμένες.

Το FireEye, ωστόσο, δεν έχει ακόμη κατονομάσει τη Ρωσία ως υπεύθυνη και είπε ότι βρίσκεται σε εξέλιξη έρευνα με το FBI, τη Microsoft και άλλους βασικούς συνεργάτες που δεν κατονομάζονται.

Μην χάσετε από το Explained|Πώς προστατεύονται οι γυναίκες από πρωτεΐνη που αφήνει τον κορονοϊό

Τι έχουν πει η SolarWinds και η κυβέρνηση των ΗΠΑ για το hack;

Αυτήν τη στιγμή, η SolarWinds συνιστά σε όλους τους πελάτες να ενημερώσουν αμέσως την υπάρχουσα πλατφόρμα Orion, η οποία διαθέτει μια ενημέρωση κώδικα για αυτό το κακόβουλο λογισμικό. Εάν ανακαλυφθεί δραστηριότητα εισβολέα σε ένα περιβάλλον, συνιστούμε τη διεξαγωγή μιας ολοκληρωμένης έρευνας και τον σχεδιασμό και την εκτέλεση μιας στρατηγικής αποκατάστασης με γνώμονα τα ερευνητικά ευρήματα και τις λεπτομέρειες του επηρεαζόμενου περιβάλλοντος, ανέφερε.

Όσοι δεν μπορούν να ενημερώσουν καλούνται να απομονώσουν τους διακομιστές SolarWinds και θα πρέπει να περιλαμβάνει τον αποκλεισμό όλης της εξόδου στο Διαδίκτυο από τους διακομιστές SolarWinds. Η ελάχιστη πρόταση είναι η αλλαγή κωδικών πρόσβασης για λογαριασμούς που έχουν πρόσβαση σε διακομιστές / υποδομή SolarWinds.

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) εξέδωσε μια Οδηγία Έκτακτης Ανάγκης 21-01, ζητώντας από όλες τις ομοσπονδιακές μη στρατιωτικές υπηρεσίες να επανεξετάσουν τα δίκτυά τους για δείκτες συμβιβασμού. Τους ζήτησε να αποσυνδέσουν ή να απενεργοποιήσουν αμέσως τα προϊόντα SolarWinds Orion.

Το FBI, η CISA και το γραφείο του Διευθυντή της Εθνικής Υπηρεσίας Πληροφοριών εξέδωσαν κοινή δήλωση και ανακοίνωσαν την αποκαλούμενη «Ομάδα συντονισμού στον κυβερνοχώρο (UCG) προκειμένου να συντονίσουν την αντίδραση της κυβέρνησης στην κρίση. Η δήλωση αποκαλεί αυτό μια σημαντική και συνεχή εκστρατεία για την ασφάλεια στον κυβερνοχώρο.

Ο Λευκός Οίκος και ο πρόεδρος Ντόναλντ Τραμπ έμειναν σιωπηλοί. Ο γερουσιαστής Mitt Romney το συνόψισε καλύτερα στα σχόλιά του στον δημοσιογράφο Olivier Knox του ραδιοφώνου SiriusXM, όπου συνέκρινε αυτή την επίθεση με το αντίστοιχο ρωσικών βομβαρδιστικών που πετούν απαρατήρητα σε όλη τη χώρα, εκθέτοντας την αδυναμία στον κυβερνοχώρο των ΗΠΑ. Είπε ότι η σιωπή και η αδράνεια από τον Λευκό Οίκο είναι ασυγχώρητη.

Ο γερουσιαστής Ρίτσαρντ Μπλούμενταλ, Δημοκρατικός, έγραψε στο Twitter: Η κυβερνοεπίθεση της Ρωσίας με άφησε βαθιά ανήσυχο, στην πραγματικότητα εντελώς φοβισμένο.

Ο εκλεγμένος Πρόεδρος Τζο Μπάιντεν είπε σε μια δήλωση: Μια καλή υπεράσπιση δεν αρκεί. Πρέπει να διαταράξουμε και να αποτρέψουμε τους αντιπάλους μας από την πραγματοποίηση σημαντικών επιθέσεων στον κυβερνοχώρο.