Каковы были последствия взлома SolarWinds?

Случаи взлома всегда доминируют в новостях, и это справедливо. Они доказывают, что никто не застрахован, особенно когда жертвой является крупная корпорация со сложной системой кибербезопасности. Одним из взломов, оказавших существенное влияние на ландшафт кибербезопасности, был взлом SolarWinds.

Но в отличие от других масштабных взломов, ущерб от атаки SolarWinds не ограничивался финансами и репутацией компании. Последствия были настолько масштабными, что во взломе участвовало правительство США и его ведомства.

Каков был масштаб взлома?

SolarWinds - американская ИТ-компания, специализирующаяся на разработке программного обеспечения для управления предприятиями и государственными учреждениями. Итак, с самого начала было ясно, что любой взлом будет иметь катастрофические последствия, выходящие за рамки активов и репутации SolarWinds.

Можно с уверенностью сказать, что сама корпорация SolarWinds была не целью атаки, а всего лишь методом атаки. SolarWinds сообщила, что хакерским вредоносным ПО заразилось чуть более 18 000 их клиентов.

Около 20 процентов жертв были правительственными учреждениями и агентствами США, такими как Министерство внутренних дел. Безопасности, Государственный департамент, Национальное управление ядерной безопасности и Министерство энергетики, среди многих другие.

Остальные 80% жертв были частными корпорациями, но они были крупными игроками в своей отрасли со своей справедливой долей высокопоставленных клиентов. Взлом затронул такие компании, как Cisco, Intel, Deloitte и Microsoft, а также некоторые медицинские учреждения, больницы и университеты.

Важно отметить, что масштаб инцидента еще полностью не известен. Хотя хакерам удалось получить доступ почти к 20 000 клиентов SolarWinds, это не означает, что они смогли обойти свои внутренние системы безопасности и взломать файлы и данные.

Например, Microsoft смогла обнаруживать навязчивое вредоносное ПО в своей среде и вовремя изолировать его. Они не сообщили ни о каких доказательствах компрометации или утечки данных клиентов в результате атаки, что позволило им избежать ее в основном невредимыми.

Но не всем так повезло. Хакерам удалось прорваться в десятки электронные письма, принадлежащие высокопоставленным чиновникам в Министерстве финансов США и, возможно, в облачных свойствах этого ведомства.

Чем отличается взлом SolarWinds?

Часто инцидент взлома является результатом сбоя системы безопасности или внутреннего сотрудничества. Но этого не произошло с тысячами компаний, которые стали жертвами взлома SolarWinds, получившего название Sunburst.

Хакерам нужно было только обойти кибербезопасность SolarWinds. Затем они приступили к добавлению вредоносного кода в один из наиболее часто используемых программных сервисов компании, Orion. Инцидент взлома был скрытным и неразрушающим, что позволило ему ускользнуть из поля зрения SolarWinds и оставаться там в течение нескольких месяцев.

Код распространился среди других клиентов, воспользовавшись одним из регулярных обновлений программного обеспечения, которые SolarWinds рассылает своим клиентам. Там вредоносный код настроил бэкдор для хакеров, позволяя им устанавливать еще более агрессивные вредоносные программы, шпионить за своими целями и передавать любую информацию, которую они считают важной.

Взлом Sunburst создал прецедент, которому компании могут и не могут доверять, когда дело касается кибербезопасности. В конце концов, обновления программного обеспечения должны содержать исправления ошибок и обновления безопасности, чтобы защитить ваши системы от эксплуатируемых уязвимостей и пробелов.

Этот тип атаки известен как атака на цепочку поставок. В нем хакеры нацелены на наиболее уязвимую часть цепочки поставок компании, а не напрямую поражают свою цель. Затем они упаковывают свои вредоносные программы в доверенные корабли и отправляют их на настоящие цели. В данном случае это было обычное обновление программного обеспечения.

Кто стоял за взломом SolarWinds?

До сих пор неясно, какая организация или группа людей стояла за взломом, поскольку до сих пор ни одна хакерская группа не заявила об инциденте. Однако федеральные следователи вместе с ведущими экспертами по кибербезопасности в первую очередь подозревают Службу внешней разведки России, также известную как СВР.

Этот вывод был основан на предыдущих хакерских инцидентах 2014 и 2015 годов. Тогда расследование также зафиксировало взлом серверов электронной почты в Белом доме и Госдепартаменте на СВР. Но пока Россия отрицает свою причастность к взлому SolarWinds, не оставляя явного виновника.

Что будет после взлома Sunburst?

Что касается прямых последствий взлома, корпорации и правительственные учреждения продолжают сканировать свои системы на предмет каких-либо дополнительных бэкдоров. злоумышленники, возможно, оставили, а также любую уязвимость системы безопасности, которую они могли обнаружить, и помешать им использовать ее в будущем атака.

Но когда дело доходит до корпоративной и правительственной кибербезопасности, все навсегда меняется. После того, как Orion компании SolarWinds был использован в качестве троянского коня для проникновения в их системы, концепция кибербезопасности с нулевым доверием и другом должна измениться, чтобы не отставать.

Связанный: Что такое сеть с нулевым доверием и как она защищает ваши данные?

Правительствам, корпорациям и пользователям придется изменить свое отношение к сотрудничеству и финансовым отношениям в обмен на надежный щит кибербезопасности и более безопасное будущее.

Стоит ли волноваться?

Хакеры редко берут то, за чем пришли, и оставляют остальное нетронутым. Все, что есть в базе данных компании или правительства, имеет огромную ценность.

В то время как компании, ведущие дела с SolarWinds, и компании, связанные с пострадавшими все компании перепроверили свои системы после взлома, вы мало что можете сделать в одиночку Пользователь.

Не нужно беспокоиться о наличии вредоносного ПО или бэкдора на одном из ваших устройств, поскольку атака в основном нацелена на корпорации и учреждения. Но вы можете быть клиентом технологических гигантов, таких как Intel или Microsoft, и у них есть личные и финансовые записи о вас по прошлым покупкам.

Следите за любыми срочными уведомлениями, которые отправляют ваши поставщики, и за тем, публикуют ли они какие-либо публичные объявления об инцидентах безопасности. Чем раньше вы узнаете о возможной утечке ваших данных, тем больше у вас шансов остаться невредимым.

Будет ли еще одна атака, похожая на Санберст?

Смогут ли государственные учреждения и компании своевременно модернизировать свои системы безопасности до новой атаки, пока неизвестно.

Но до тех пор, пока корпорации и учреждения несут конфиденциальные и ценные данные, они всегда будут мишенью для хакерских групп, как местных, так и международных.

Что такое атака SolarWinds? Я пострадал?

Вы, наверное, слышали о кибератаке SolarWinds, так что же это такое? А вы пострадали?

Читать далее

Об авторе