Microsoft podał, że ponad 40 jego klientów było celem ataku hakerów. Większość to firmy i instytucje z USA. Hakerzy wykorzystali luki w oprogramowaniu Microsoft 365.
Na liście ofiar ataku hakerów znajdują się agencje rządowe, firmy zajmujące się bezpieczeństwem, firmy technologiczne oraz organizacje pozarządowe. Około 20 proc. celów to podmioty z Kanady, Meksyku, Belgii, Hiszpanii, Wielkiej Brytanii, Izraela i Zjednoczonych Emiratów Arabskich. Radca prawny Microsoft, Brad Smith zauważył, że nie jest to ostateczna lista.
W czwartek dziennik „Politico” powiadomił, że ministerstwo energii USA i podległa mu Narodowa Administracja Bezpieczeństwa Jądrowego (NISA) mają dowody na to, że padły ofiarą masowego ataku.
Włamanie odkryła kilka dni temu firma FireEye, która zajmuje się cyberbezpieczeństwem. Głośno o nim stało się dopiero, gdy ucierpiały Departamenty Handlu i Skarbu USA. W grę wchodzi też m.in. Agencja Bezpieczeństwa Narodowego, Biuro Prezydenta Stanów Zjednoczonych, a nawet większość amerykańskich firm z listy Fortune 500.
Zdaniem dziennika „Washington Post” za atakami stoi grupa APT29, to grupa hakerów działających od co najmniej 2008 roku i powiązanych z rosyjskim rządem. Moskwa kategorycznie zaprzecza oskarżeniom. W oświadczeniu opublikowanym na Facebooku rosyjskie ministerstwo spraw zagranicznych określiło zarzuty jako kolejną nieuzasadnioną próbę obwiniania Rosji przez amerykańskie media za cyberataki.
Wiemy już, że hakerzy włamywali się dzięki aktualizacji oprogramowania SolarWinds Orion. Używa je wiele agend rządowych oraz dużych firm do monitorowania i inwentaryzacji sieci. Jak podaje cberdefence24.pl, oprogramowanie dostarczone przez firmę SolarWinds jest też wykorzystywane przez polski rząd, np. MSWiA.
Przestępcy wykorzystali uprawnienia administracyjne uzyskane w wyniku włamania do lokalnych systemów, by dostać się do kont administratora poszczególnych departamentów i firm. Dzięki temu podszyli się pod uprzywilejowane profile i byli w stanie swobodnie poruszać się w sieci, podglądać maile i dokumenty. Metoda ta – często nazywana „atakiem na łańcuch dostaw” – polega na ukrywaniu złośliwego oprogramowania w treści legalnych aktualizacji dostarczanych celom hakerów przez współpracujące z nimi firmy.
W związku z atakiem hakerskim Microsoft zaczął przymusowe blokowanie oraz izolowanie wersji aplikacji SolarWindows Orion. Jednak feralna aktualizacja zainfekowana złośliwym oprogramowaniem wyszła w marcu tego roku. Specjaliści od cyberbezpieczeństwa nadal starają się oszacować skalę szkód wyrządzonych przez włamanie.
Eksperci Microsoft nie są w stanie powiedzieć, w jaki sposób hakerom udało się dać dostęp do pakietów aktualizacyjnych. Zdaniem agencji Reuters zabezpieczenia serwerów SolarWinds pozostawiały wiele do życzenia. Kilka lat temu anonimowi oferenci usiłowali sprzedać na forach hakerskich dostęp do serwerów firmy, zauważając, że mają odpowiednie hasła. Jeden z hakerów oferujących hasła jest poszukiwany przez FBI za udział w „kilku głośnych incydentach”. Agencja cytuje też specjalistę od zabezpieczeń Vinotha Kumara, który ostrzegał w tamtym roku firmę, że hakerzy są w stanie łatwo się dostać do serwera aktualizacji SolarWinds, używając hasła „solarwinds123”. Nie wiemy, czy firma odpowiedziała na jego ostrzeżenia.
John Ullyot, rzecznik Rady Bezpieczeństwa Narodowego wydał specjalne oświadczenie, w którym informuje, że włamanie jest częścią większej kampanii wymierzonej we władze Stanów Zjednoczonych oraz interesy tego kraju. Zapewnił, że podjęto niezbędne kroki do usunięcia intruzów oraz zabezpieczenia sieci przed podobnymi atakami.
Włamania są na tyle poważne, że w Białym Domu zwołano specjalne spotkanie Rady Bezpieczeństwa Narodowego, na którym omawiano ich skutki, a także przyczyny. Szczególnie niepokojąca jest informacja, że hakerzy pokonali zabezpieczenia Microsoft 365.
Źródło: https://cyfrowa.rp.pl/
