Каковы были последствия взлома SolarWinds?
Случаи взлома всегда доминируют в новостях, и это справедливо. Они доказывают, что никто не в безопасности, особенно когда жертвой является крупная корпорация со сложной системой кибербезопасности. Одним из взломов, оказавших существенное влияние на ландшафт кибербезопасности, был взлом SolarWinds.
Но в отличие от других масштабных взломов, ущерб от атаки SolarWinds не ограничивался финансами и репутацией компании. Последствия были настолько масштабными, что во взломе участвовало правительство США и его ведомства.
Каков был масштаб взлома?
SolarWinds – американская ИТ-компания, специализирующаяся на разработке программного обеспечения для управления предприятиями и государственными учреждениями. Итак, с самого начала было ясно, что любой взлом будет иметь катастрофические последствия, выходящие за рамки активов и репутации SolarWinds.
Можно с уверенностью сказать, что сама корпорация SolarWinds не была целью атаки, а была лишь методом атаки. SolarWinds сообщает, что хакерским вредоносным ПО заразилось чуть более 18 000 их клиентов.
Среди жертв около 20 процентов были правительственными учреждениями и агентствами США, такими как Министерство внутренней безопасности, Государственный департамент, Национальное управление ядерной безопасности и Министерство энергетики, среди многих других.
Остальные 80% жертв были частными корпорациями, но они были крупными игроками в своей отрасли со своей справедливой долей высокопоставленных клиентов. Взлом затронул такие компании, как Cisco, Intel, Deloitte и Microsoft, а также некоторые медицинские учреждения, больницы и университеты.
Важно отметить, что масштаб инцидента еще полностью не известен. Хотя хакерам удалось получить доступ почти к 20 000 клиентов SolarWinds, это не означает, что они смогли обойти свои внутренние системы безопасности и скомпрометировать файлы и данные.
Например, Microsoft смогла обнаружить вредоносное ПО в своей среде и вовремя изолировать его. Они не сообщили ни о каких доказательствах компрометации или утечки данных клиентов в результате атаки, что позволило им избежать ее в основном невредимыми.
Но не всем так повезло. Хакерам удалось проникнуть в десятки электронных писем, принадлежащих высокопоставленным чиновникам Министерства финансов США и, возможно, в облачные ресурсы этого ведомства.
Чем отличается взлом SolarWinds?
Часто инцидент взлома является результатом сбоя системы безопасности или внутреннего сотрудничества. Но это не относится к тысячам компаний, которые стали жертвами взлома SolarWinds, получившего название Sunburst.
Хакерам нужно было только обойти кибербезопасность SolarWinds. Затем они приступили к добавлению вредоносного кода в один из наиболее часто используемых программных сервисов компании, Orion. Инцидент взлома был незаметным и неразрушающим, что позволило ему ускользнуть из поля зрения SolarWinds и оставаться там в течение нескольких месяцев.
Код распространился среди других клиентов, воспользовавшись одним из регулярных обновлений программного обеспечения, которые SolarWinds рассылает своим клиентам. Там вредоносный код создал бэкдор для хакеров , позволяя им устанавливать еще более инвазивные вредоносные программы, шпионить за своими целями и сливать любую информацию, которую они сочли важной.
Взлом Sunburst создал прецедент, которому компании могут и не могут доверять, когда дело касается кибербезопасности. В конце концов, обновления программного обеспечения должны включать исправления ошибок и обновления безопасности, чтобы защитить ваши системы от эксплуатируемых уязвимостей и пробелов.
Этот тип атаки известен как атака цепочки поставок . В нем хакеры нацелены на наиболее уязвимую часть цепочки поставок компании, а не напрямую поражают свою цель. Затем они упаковывают свои вредоносные программы в доверенные корабли и отправляют их на настоящие цели. В данном случае это было обычное обновление программного обеспечения.
Кто стоял за взломом SolarWinds?
До сих пор неясно, какая организация или группа людей стояла за взломом, поскольку до сих пор ни одна хакерская группа не заявила об инциденте. Однако федеральные следователи вместе с ведущими экспертами по кибербезопасности в первую очередь подозревают Службу внешней разведки России, также известную как СВР.
Этот вывод был основан на предыдущих хакерских инцидентах 2014 и 2015 годов. Тогда расследование также зафиксировало взлом серверов электронной почты в Белом доме и Государственном департаменте в SVR. Но пока Россия отрицает свою причастность к взлому SolarWinds, не оставляя явного виновника.
Что будет после взлома Sunburst?
Что касается прямых последствий взлома, корпорации и правительственные учреждения продолжают сканировать свои системы на предмет любых дополнительных бэкдоров, которые могли оставить злоумышленники, а также любой уязвимости безопасности, которую они могли обнаружить, и не позволять им использовать ее в будущем. атака.
Но когда дело доходит до корпоративной и правительственной кибербезопасности, все навсегда меняется. После того, как Orion компании SolarWinds был использован в качестве троянского коня для проникновения в их системы, концепция кибербезопасности с нулевым доверием и другом должна измениться, чтобы не отставать.
Правительствам, корпорациям и пользователям придется изменить свое отношение к сотрудничеству и финансовым отношениям в обмен на надежный щит кибербезопасности и более безопасное будущее.
Стоит ли волноваться?
Хакеры редко берут то, за чем пришли, и оставляют остальное нетронутым. Все, что есть в базе данных компании или правительства, имеет огромную ценность.
Хотя компании, которые ведут бизнес с SolarWinds, и компании, которые связаны с этими затронутыми компаниями, все перепроверили свои системы после взлома, вы мало что могли бы сделать как индивидуальный пользователь.
Не нужно беспокоиться о наличии вредоносного ПО или бэкдора на одном из ваших устройств, поскольку атака в основном нацелена на корпорации и учреждения. Но вы можете быть клиентом технологических гигантов, таких как Intel или Microsoft, и у них есть личные и финансовые записи о вас по прошлым покупкам.
Следите за любыми срочными уведомлениями, которые отправляют ваши поставщики, и за тем, публикуют ли они какие-либо публичные объявления об инцидентах безопасности. Чем раньше вы узнаете о возможной утечке ваших данных, тем больше у вас шансов остаться невредимым.
Будет ли еще одна атака, похожая на Санберст?
Смогут ли государственные учреждения и компании вовремя модернизировать свои системы безопасности до новой атаки, пока неизвестно.
Но до тех пор, пока корпорации и учреждения несут конфиденциальные и ценные данные, они всегда будут мишенью для хакерских групп, как местных, так и международных.