Архив
Поиск
Press digest
26 ноября 2021 г.
22 декабря 2020 г.

Кевин Полсен, Роберт Макмиллан и Дастин Волц | The Wall Street Journal

Жертвы взлома SolarWinds: от технологических компаний до больницы и университета

"Как свидетельствует анализ интернет-данных, проведенный The Wall Street Journal, подозреваемые российские хакеры, стоящие за взломами правительственных агентств США, также получили доступ к крупным американским технологическим и бухгалтерским компаниям, по крайней мере, к одной больнице и университету. WSJ идентифицировал зараженные компьютеры в 24 организациях, которые установили зараженное программное обеспечение для мониторинга сети под названием SolarWinds Orion, позволявшее хакерам проникать через тайно внедренный бэкдор. Это дало им потенциальный доступ к значительным объемам важных корпоративных и личных данных".

"Среди них: технологический гигант Cisco Systems Inc., производители микросхем Intel Corp. и Nvidia Corp., бухгалтерская фирма Deloitte LLP, производитель программного обеспечения для облачных вычислений VMware Inc. и Belkin International Inc., которая продает домашние и офисные Wi-Fi-роутеры и сетевое оборудование под брендами LinkSys и Belkin. Атакующие также имели доступ к Департаменту больниц штата Калифорнии и Кентскому университету", - говорится в статье.

"Жертвы приоткрывают окно, позволяя увидеть широкий масштаб взлома, который мог охватить до 18 тыс. клиентов SolarWinds Corp., базирующейся в Остине, заявила компания, после того как хакеры внедрили в обычное обновление ПО вредоносный код (...). Cisco подтвердила, что обнаружила вредоносное ПО в некоторых системах сотрудников и в небольшом количестве лабораторных систем. Компания все еще ведет расследование (...). Intel загрузила и запустила вредоносное ПО, показал анализ WSJ. По словам представителя компании, инцидент все еще расследуется, и компания не нашла доказательств того, что хакеры использовали бэкдор для доступа к сети компании. Фирма Deloitte, согласно анализу WSJ зараженная в конце июня, заявила, что "предприняла шаги по устранению" вредоносного ПО, но "в настоящее время не обнаруживает признаков несанкционированного доступа к нашим системам".

"VMware заявила, что обнаружила "ограниченные экземпляры" вредоносного ПО в своих системах, но ее "внутреннее расследование не выявило никаких признаков использования", сообщил представитель компании. Компания Belkin сообщила в электронном письме, что удалила бэкдор сразу после того, как федеральные власти обнародовали предупреждение на прошлой неделе (...)", - пишет издание.

"Представитель Кентского университета сообщила, что учреждение "знает о ситуации и оценивает этот серьезный вопрос". Согласно анализу WSJ, Департамент больниц штата Калифорнии инсталлировал бэкдор к началу августа. По словам представителя Управления по чрезвычайным ситуациям при губернаторе Калифорнии, который отказался давать комментарии по конкретным пострадавшим агентствам, чиновники штата работают с федеральными агентствами и агентствами штата над устранением воздействия бэкдора SolarWinds. Представитель Nvidia сообщил, что у компании "на данный момент нет доказательств того, что Nvidia пострадала, и наше расследование продолжается".

"WSJ получил цифровые подсказки с компьютеров жертв, собранные компаниями по анализу угроз Farsight Security и RiskIQ, а затем использовал методы дешифрования, чтобы идентифицировать некоторые серверы, которые загрузили вредоносный код. В некоторых случаях анализ приводил к идентификации скомпрометированных организаций и показывал, когда, вероятно, был активирован код - что свидетельствовало о том, что хакеров есть доступ", - поясняет издание.

"Пока неизвестно, что делали хакеры внутри различных организаций и даже использовали ли они бэкдоры для многих из компаний. Но следователи и эксперты по безопасности считают, что, помимо внутренних коммуникаций и других государственных секретов, хакеры могли искать электронные письма руководителей компаний, документы о разрабатываемых секретных технологиях и другие способы скомпрометировать и иные системы позднее", - утверждает газета.

(...) "Федеральные следователи пришли к выводу, что за взлом, вероятно, ответственно российское правительство, отчасти из-за продемонстрированного уровня квалификации (...), - отмечается в публикации.

"Клиенты определенно психуют", - говорит Дэвид Кеннеди, компания которого, TrustedSec LLC, расследует взлом. По его словам, для многих компаний тревога заключается в том, украли ли злоумышленники данные или остаются незамеченными в корпоративных сетях. Более того, поскольку атака началась много месяцев назад, у некоторых компаний может больше не быть данных, необходимых для проведения полного расследования".

"Если это действительно СВР, как мы полагаем, этих парней невероятно сложно выгнать из сетей", - замечает Дмитрий Альперович, эксперт по кибербезопасности и соучредитель аналитического центра Silverado Policy Accelerator, имея в виду российскую Службу внешней разведки. По словам Альперовича, бывшего директора по технологиям и соучредителя компании CrowdStrike Holdings Inc., занимающейся кибербезопасностью, некоторые организации, которые лучше ведут учет активности в своих системах, вероятно, смогут определить, прошел ли кто-то через российский бэкдор в их сети. Но для других, особенно для компаний меньшего и среднего размера, это будет трудная и дорогостоящая задача, которую многие, вероятно, проигнорируют, а это означает, что Россия может поддерживать свое присутствие в некоторых сетях в течение неопределенного срока. "Они, вероятно, просто уберут бэкдор и будут жить дальше", - сказал Альперович.

"Многие корпоративные жертвы сейчас опасаются того, что хакеры могут использовать их как средство доступа к их клиентам. Например, Microsoft обнаружила в исследовании, обнародованном в четверг, что почти половина из более чем 40 клиентов, пострадавших от атаки, были компаниями, предоставляющими услуги в области информационных технологий, которые часто имеют широкий доступ к сетям своих клиентов".

"Microsoft, которая сама является клиентом SolarWinds, заявила на прошлой неделе, что она также обнаружила вредоносное ПО, связанное со взломом, в своей собственной сети, но "нет никаких признаков того, что наши системы использовались для того, чтобы атаковать других", - заявила представитель компании. Компания продолжает расследование", - говорится в статье. (...)

Источник: The Wall Street Journal


facebook
Rating@Mail.ru
Inopressa: Иностранная пресса о событиях в России и в мире
Политика конфиденциальности
Связаться с редакцией
Все текстовые материалы сайта Inopressa.ru доступны по лицензии:
Creative Commons Attribution 4.0 International, если не указано иное.
© 1999-2024 InoPressa.ru