По словам генерального директора, хакеры прятались в системе электронной почты SolarWinds как минимум 9 месяцев

Недавно назначенный генеральный директор SolarWinds Corp.

SWI -1,93%

все еще пытается разгадать, как его компания стала основным вектором для хакеров в результате массированной атаки, раскрытой в прошлом году, но появляются свидетельства того, что они скрывались в системе электронной почты Office 365 компании в течение нескольких месяцев.

К декабрю 2019 года хакеры получили доступ как минимум к одной из учетных записей Office 365 компании, а затем перешли к другим учетным записям Office 365, используемым компанией, сказал Судхакар Рамакришна в интервью во вторник. «Некоторые учетные записи электронной почты были взломаны. Это привело к тому, что они взломали другие учетные записи электронной почты и, как следствие, наши более широкие [Office] 365 была нарушена среда », – сказал он.

Это последнее событие в восьминедельном расследовании одного из самых серьезных нарушений в истории США. SolarWinds, ранее малоизвестный, но важный производитель программного обеспечения для управления сетью, все еще пытается понять, как хакеры впервые проникли в сеть компании и когда именно это произошло.

Одна из возможностей заключается в том, что хакеры, возможно, скомпрометировали учетные записи Office 365 компании еще раньше, а затем использовали это как начальную точку входа в компанию, хотя это одна из нескольких теорий, которые преследуются, сказал Рамакришна.

Подробнее о взломе SolarWinds

Следователи пытаются определить масштаб ущерба. Пока идентифицировано всего несколько десятков жертв, но в конечном итоге атака могла затронуть около 18 000 клиентов компании.

По словам Рамакришны, внутреннее расследование включало поиск в десятках терабайт лог-файлов и других данных с целью проследить шаги хакерской операции, которая оставалась незамеченной более года. «Мы оцениваем горы данных», – сказал он.

В конечном итоге реакция на инцидент обойдется SolarWinds в миллионы долларов, сказал г-н Рамакришна, который был назначен следующим исполнительным директором SolarWinds, когда был обнаружен взлом, но не начинал работу в компании до 4 января.

«Я решил сначала прийти, оценить и выяснить, что нам нужно делать», – сказал он. С момента вступления в должность г-н Рамакришна модернизировал процессы разработки программного обеспечения компании и привлек внешних экспертов по кибербезопасности, чтобы помочь отреагировать на нарушение, в том числе Криса Кребса, бывшего высокопоставленного чиновника Министерства внутренней безопасности по кибербезопасности, и Алекса Стамоса, ранее работавшего в Facebookс

начальник службы безопасности.

Исследователи описывают этот взлом как один из худших в истории США из-за его сложности, масштаба и того, как он подорвал доверительные отношения между поставщиками технологий и производимыми ими продуктами.

Злоумышленники придумали способ превратить собственное обновление программного обеспечения SolarWinds в своего рода цифрового троянского коня. На данный момент расследование показало, что в сентябре 2019 года хакеры проводили тесты внутренних систем сборки SolarWinds, используемых для сборки обновлений программного обеспечения компании. Затем система сборки использовалась для создания патча вредоносного программного обеспечения, который, по заявлению SolarWinds, был отправлен. менее чем 18000 клиентов в 2020 году.

Правительство США публично обвинило Россию, которая отрицает ответственность. В прошлом месяце президент Байден поручил своему директору национальной разведки Аврил Хейнс провести обзор российской агрессии против США, в том числе взлома SolarWinds.

Десятки клиентов SolarWinds, включая крупные технологические компании, такие как Microsoft Corp.

и Cisco Systems Inc.,

пострадали от инцидента, а также министерства финансов, юстиции, энергетики, торговли, государства, национальной безопасности, труда и энергетики.

Во вторник люди, знакомые с ходом расследования, заявили, что другая группа хакеров – группа, связанная с Китаем – которая получила доступ к сетям Министерства сельского хозяйства, использовала не связанный и менее серьезный недостаток в программном обеспечении SolarWinds для дальнейшего нацеливания на компьютерные системы организации. Об атаке на министерство сельского хозяйства ранее сообщало агентство Reuters. Представитель Министерства сельского хозяйства оспорил некоторые аспекты истории Reuters, но не уточнил, пострадала ли какая-либо часть отдела, связанная с программным обеспечением SolarWinds.

Г-н Рамакришна сказал, что SolarWinds уже расследовала единичный отчет о хакерах, использующих эту ошибку, когда в декабре прошлого года узнала о собственной компрометации.

Хотя программное обеспечение для управления сетью SolarWinds, называемое Orion, само по себе было основным средством атаки со стороны хакеров, оно было не единственным. На прошлой неделе исполняющий обязанности директора Агентства по кибербезопасности и безопасности инфраструктуры заявил, что около 30% жертв хакеров не имели прямого отношения к самой SolarWinds.

«Это довольно серьезный инцидент», – сказал Адам Мейерс, старший вице-президент по разведке CrowdStrike Holdings Inc., компании по обеспечению безопасности, которую SolarWinds наняла для расследования взлома. «Честно говоря, я даже не знаю, что мы поцарапали поверхность по этой штуке».

Написать Роберт Макмиллан, Robert.Mcmillan@wsj.com

© 2020 Dow Jones & Company, Inc. Все права защищены. 87990cbe856818d5eddac44c7b1cdeb8

By admin

Leave a Reply

Your email address will not be published. Required fields are marked *