Подозреваемая российская кибератака началась с малоизвестной, но широко известной софтверной компании

Следователи утверждают, что компания, которая может похвастаться более чем 400 корпорациями из списка Fortune 500 и многими государственными учреждениями в качестве клиентов, предоставила идеальный механизм для тщательно осуществленного вторжения, приписываемого российской Службе внешней разведки.

Хакеры нацелились на программное обеспечение, которое является основой большинства предприятий, но обычно не находится в центре внимания и используется в основном техническим персоналом, который поддерживает работу компьютерных сетей и программного обеспечения. «SolarWinds находится в водопроводной сети», – сказал Стивен Эллиот, вице-президент исследовательской компании International Data Corp.

Построив черный ход в ПО SolarWinds, хакеры смогли взломать системы Министерства внутренней безопасности, Министерства финансов и торговли, агентств национальной безопасности, оборонных подрядчиков и, возможно, сотни других организаций.

«
«Они превратили этот компромисс в неизвестно сколько других компромиссов, о которых мы будем узнавать в течение нескольких недель. Возможно, мы никогда не узнаем полного воздействия ».


– Винсент Лю, епископ Фокс

Такого рода непрямые кибератаки, нацеленные на поставщиков как способ проникнуть в их клиентов, вызывают все большую озабоченность у правительства и экспертов по кибербезопасности. Хотя компании усилили свою киберзащиту, большинство клиентов не уделяют пристального внимания программному обеспечению, поставляемому их поставщиками.

«По сути, вы доверяете продавцу, который провел надлежащую проверку продуктов, которые он вам продает», – сказал Винсент Лю, исполнительный директор консалтинговой фирмы Bishop Fox. По его словам, очень немногие компании, за исключением некоторых крупных финансовых служб и высокотехнологичных фирм, проводят оценку безопасности программного обеспечения, которое они покупают.

Использование этой возможности для атаки не новость для российских хакеров. В 2017 году эту технику использовали хакеры, также связанные с Москвой, для взлома компаний по всему миру после того, как они взломали малоизвестную украинскую компанию ME Docs и изменили налоговое программное обеспечение, которое она распространяла среди клиентов, так, чтобы оно содержало разрушительный вирус. Российское правительство отрицает факт взлома правительства или компаний Америки, а его посольство в Вашингтоне отрицает ответственность за атаку SolarWinds.

В последнем инциденте хакеры, похоже, закрепились в сетях своих жертв, добавив «черный ход» в программное обеспечение SolarWinds Orion, согласно анализу этого события Microsoft. Corp.

После установки это программное обеспечение подключалось к серверу, контролируемому хакерами, что позволяло им проводить дальнейшие атаки против клиента SolarWinds и красть данные. По сообщению SolarWinds, уязвимые обновления были доставлены клиентам в период с марта по июнь.

«Они могли просто скомпрометировать SolarWinds, но они сделали больше», – сказал г-н Лю. «Они превратили этот компромисс в неизвестно сколько других компромиссов, о которых мы будем узнавать в течение нескольких недель. Возможно, мы никогда не узнаем полного удара », – сказал он.

Представитель SolarWinds сказал, что компания работает с FireEye. Inc.,

крупная американская фирма по кибербезопасности, а также разведывательное сообщество и правоохранительные органы проводят расследование.

По словам следователей, хакеры были изощренными и действовали медленно и сознательно, используя свои точки опоры в сетях жертв, чтобы проткнуть компьютерные системы и в конечном итоге украсть информацию. FireEye, которая стала одной из жертв инцидента, заявила на прошлой неделе, что хакеры украли набор хакерского программного обеспечения, которое она использовала для проверки безопасности своих клиентов.

Агентство по кибербезопасности и безопасности инфраструктуры выпустило экстренное предупреждение в воскресенье вечером, призывая федеральные агентства прекратить использование затронутого продукта SolarWinds.

Россия отрицает факт взлома правительства или компаний Америки. На снимке – часть его посольства в Вашингтоне, округ Колумбия.


Фото:

Брайан Снайдер / Reuters

Корпорации обычно заключают контракты с десятками поставщиков программного обеспечения, хотя их количество может варьироваться от отрасли к отрасли. В банковской сфере, например, среднее количество прямых поставщиков программного обеспечения составляет 83; в сфере ИТ-услуг – 55, по данным аналитической компании Interos Inc.

По данным SolarWinds, до 18 000 клиентов могли загрузить программное обеспечение, содержащее черный ход, хотя следователи ожидают, что общее число жертв будет намного меньше. Эксперты по безопасности говорят, что даже если клиенты выключат свое программное обеспечение SolarWinds, у них еще могут быть недели работы, чтобы гарантировать, что хакеры больше не будут иметь точку опоры где-то еще в своей сети.

Низкая репутация SolarWinds привела к неприятным сюрпризам для некоторых компаний, когда они пытались определить, используют ли они это программное обеспечение, сказал Серджио Кальтаджироне, вице-президент по анализу угроз компании Dragos Inc., занимающейся компьютерной безопасностью. Г-н Кальтаджироне сказал, что большую часть понедельника он провел, спрашивая своих клиентов, используют ли они продукты SolarWinds. Большинство из них сначала сказали «нет», но при дальнейшем осмотре поняли, что используют инструменты. «Люди находят его повсюду», – сказал он.

Компания SolarWinds, в которой работает более 3200 сотрудников, является одним из десятков мелких и крупных поставщиков, продающих программное обеспечение или услуги для мониторинга и управления сетью правительствам и компаниям – глобальный рынок с оборотом 11,5 миллиардов долларов, сказал г-н Эллиот из IDC.

За несколько дней до того, как взлом стал достоянием общественности, SolarWinds заявил, что генеральный директор Кевин Томпсон, изображенный здесь в 2018 году, уйдет.


Фото:

Брендан Макдермид / Reuters

Как хакеры получили доступ к системам SolarWinds для внедрения вредоносного кода, пока неясно. Компания заявила, что ее учетные записи электронной почты Microsoft были скомпрометированы и что этот доступ мог быть использован для сбора дополнительных данных из инструментов повышения производительности Office.

Инцидент стал достоянием общественности, поскольку 21-летняя компания переживает смятение руководства. Ранее в этом месяце – всего за четыре дня до раскрытия информации о взломе – SolarWinds заявила, что ее генеральный директор Кевин Томпсон уйдет с 4 января, и его заменит Судхакар Рамакришна, бывший генеральный директор охранной компании Pulse Secure LLC. Также в этом месяце Джозеф Ким, руководитель инженерного отдела компании, ушел на работу в производителя программного обеспечения Citrix Systems. Inc.,

согласно его профилю LinkedIn. В октябре директор по информационным технологиям Рани Джонсон ушла на работу в компанию Tibco Software Inc., другого поставщика. Ни один из руководителей не ответил на сообщения с просьбой прокомментировать ситуацию.

В 2019 году объем продаж SolarWinds составил 933 миллиона долларов, и, по прогнозам компании, в этом году выручка превысит 1 миллиард долларов. По данным компании, продукт Orion приносит около 45% выручки. SolarWinds заявила, что не может предсказать финансовые последствия инцидента. В понедельник акции компании упали почти на 17%.

Написать Роберт Макмиллан, Robert.Mcmillan@wsj.com

© 2020 Dow Jones & Company, Inc. Все права защищены. 87990cbe856818d5eddac44c7b1cdeb8

By admin

Leave a Reply

Your email address will not be published. Required fields are marked *