Министерството за финансии на САД и Министерството за трговија, се дел од жртвите на голем сајбер-напад.
Главен осомничен за нападот е руската хакерска група APT29 позната и под името Cozy Bear. Американските агенции сметаат дека оваа група има поддршка и од властите во Москва. Официјално досега нема обвинувања за Русија. Неофицијално сомневањето е дека зад кампањата е токму Русија.
Безбедносните експерти се сомневаат дека ова може да најголемата откриена сајбер-кампања досега. Одделот за домашна безбедност издаде наредба сите зафатени компјутери да бидат исклучени, или да се прекине интернет врската.
„Може да потврдиме дека има пробивање во едно наше биро. Побаравме истрага од Безбедносната агенција за сајбер-структура и инфраструктура и од Федералното истражно биро“, вели претставник на Министерството за трговија.
Нападите засега се детектирани единствено во САД. Сепак безбедносните експерти FireEye, кои и самите се цел на овој напад, тврдат дека станува збор за глобален сајбер-напад. Очекувањата на најголем дел од безбедносните експерти кои се запознаени со случајот е дека до крајот на оваа недела ќе се јават и нови жртви на нападот.
Првите информации велат дека нападот е софистициран, и трае од поодамна. Напаѓачите можеби имале пристап до чувствителни податоци уште од пролетта. Истрагата ја води Федералното истражно биро, а жртви на нападот се државни, консултантски, технолошки, телеком, нафтени компании во: САД, Европа, Азија и на Блискиот Исток, пренесе Washington Post.
Минатата недела безбедносната компанија FireEye која е безбедносен консултант за држави и компании објави дека и самите се жртва на сајбер напад. Во овој напад се украдени и алатките кои ги користи FireEye. Компанијата не посочи која, но објави дека се сомнева дека се цел на хакерска група спонзорирана од држава. Сепак со оглед на тоа дека случајот е во рацете на руските специјалисти во Федералното истражно биро, лесно може да се заклучи за која држава станува збор.
Алатките кои се украдени од FireEye се дигитални реплики на најсофистицираните хакерски алатки, вели New York Times. Компанијата ги користи со дозвола на своите клиенти при тестирањето на нивните мрежи. Овие алатки не се дел од сегашните напади, но речиси без сомневање ќе ги видиме во иднина. Она што ќе го предизвика овој напад е: со користење на алатките на FireEye да биде навистина тешко во иднина да се идентификува напаѓач кој ќе ги користи истите.
Нападот е преку серверите за надградба на SolarWinds
Сите организации кои се жртви на овој напад се пробиени од Orion серверите за надградба на компанијата SolarWinds. Услугите на оваа компанија ги користат над 300 000 организации од целиот свет. Во САД, дел од корисниците на нивните алатки се Пентагон, НАСА, Армијата на САД, Стејт департментот, па дури и Националната агенција за безбедност.
Orion серверот во случајот се користел како средство за влез во системите на организациите. Групата го компромитирала серверот, па секој пат која корисниците се најавувале да побараат надградба, напаѓачите добивале пристап до системите на организациите.
Хакерите успеале својот малициозен код да го скријат во надградбите, и со тоа да добијат пристап до мрежите на илјадници организации. Безбедносниот пропуст се поврзува со надградба на софтверот на Orion во период од март до јуни оваа година. Потенцијални жртви на нападите се илјадници владини и корпоративни мрежи.
Сите компании и организации кои ги користат услугите на SolarWinds треба да сметаат и да се однесуваат како да се жртва на сајбер-нападите, а нивната безбедност да е нарушена. Веројатноста за ова не е голема поради ресурсите кои се потребни за нападите, но тешко е да се заклучи кои се бил цел на нападот.
„За напади од овој вид се потребни исклучителни познавања и време. Ова е напад на синџирот за снабдување (supply chain attack) со употреба на доверливи односи. Навистина е тешко да се запре“, вели Крис Кребс поранешен безбедносен експерт во Белата куќа.
Агенцијата CISA излезе со сет на мерки кои треба да ги ограничат опасностите од нападите. SolarWinds ги повика своите корисници да ја надградат верзијата на Orion платформата веднаш. Дополнителна надградбата на Orion платформата на безбедна верзија е најавена за 15 декември.
Русија која е цел на обвинувањата во медиумите ја негира својата вмешаност во нападите. Амбасадата на Русија во САД во пост на друштвената мрежа Facebook, ги обвини медиумите за неосновани обвинувања за руски напади врз државни органи во САД.
„Одговорно изјавуваме: Злонамерните активности во информативниот простор се косат со принципите на руската надворешна политика, националните интереси и нашето разбирање за меѓудржавните односи. Русија не спроведува офанзивни операции во сајбер просторот“
Ова не е првпат руската група Cozy Bear да се поврзува со напади во САД. Во 2016 групата беше обвинета за нападите врз серверите на Демократската партија за време на изборите, а цел на напади беше и електронската пошта на Белата куќа.
[…] минатата година беа нападнати 9 аl… објави дека нов […]
[…] преку чии сервери на крајот на минатата година беа нападнати 9 американски агенции и над 100 компании објави дека нов досега незабележан пропуст се користи […]
[…] пробивање на алатката TeamCity од JetBrains започнаа големите напади објавени минатиот месец. За овие напади е искористен пропуст во серверите за […]