New York Times a publicat un articol de profunzime conţinând cele mai recente informații cu privire la compromiterea “Solarwinds”, ce se presupune că este o nouă operațiune a Serviciului de Informații Externe Rus, S.V.R.
Opiniile prezentate în articol, ce aparţin unor “jucători cheie” care investighează această operaţiune presupus rusă, au relevat următoarele puncte de interes:
- Elementele compromise sunt mult mai mari decât s-a crezut iniţial. Primele estimate au fost că Rusia a sondat doar câteva zeci de cele 18.000 de reţele guvernamentale și private la care au dobândit acces atunci când au introdus codul maliţios în softul de management realizat de o companie Texas numită SolarWinds. În paralel cu marile întreprinderi de IT, cum ar fi Amazon și Microsoft, care sapă mai adânc pentru identificarea atacurilor, se pare că şi Rusia a exploatat mai multe nivele ale lanțului de aprovizionare software pentru a obține acces la mai mult de 250 de rețele.
- Managementul intruziunilor a fost efectuat de hackeri din interiorul unor servere din Unite Statele, exploatând interdicții juridice ale NSA pentru supravegherea în interiorul SUA și eludând protecţiile cibernetice desfășurate de către “Departament of Homeland Security” .
- Senzorii „de avertizare timpurie“ plasați de Comandamentul Cyber și NSA adânc în interiorul rețelelor străine pentru detectarea fabricării de astfel de atacuri în mod clar nu au fost eficienţi. Nu există, de asemenea, nicio indicație că vreo sursă umană de informații ar fi alertat Statele Unite despre această intruziune.
- Accentul pus de guvern pe protecţia alegerilor, care au fost într-adevăr critice în 2020, a deviat resursele și atenția de la probleme mai vechi precum protejarea lanţurilor de aprovizionare pentru aplicaţii. În sectorul privat de asemenea, companiile care s-au concentrat asupra securităţii alegerilor, precum FireEye și Microsoft, dezvăluie acum că au fost compromise ca parte a unui atac mai mare asupra lanțului lor de aprovizionare.
- SolarWinds, compania pe care hackerii au folosit-o ca legătură pentru atacurile lor, a avut un istoric foarte favorabil de securitate a produselor sale, ceea ce a făcut din ea o țintă ușoară, potrivit actualilor și foștilor angajați și conform anchetatorilor guvernamentali. CEO-ul companiei, Kevin B. Thompson, care şi-a părăsit locul de muncă după 11 de ani, a evitat să răspundă la întrebarea dacă compania sa ar fi trebuit să detecteze intruziunea.
- Unele dintre softurile compromise ale SolarWinds au fost proiectate în Estul Europei şi anchetatorii americani examinează acum dacă incursiunea îşi are originea acolo, zonă în care operatorii ruși de informații sunt adânc înrădăcinaţi .
În altă ordine de idei, se pare că SVR a efectuat un atac de probă cu cinci luni înainte de atacul real:
“Hackerii au distribuit fișiere malware din rețeaua SolarWinds în Octombrie 2019, cu cinci luni înainte ca dosare raportate anterior să fi fost trimise la victime prin intermediul serverelor de actualizare software ale companiei. În fișiere distribuite la clienți pe 10 octombrie 2019 nu au existat încorporate back-door-uri, în modul în care fișierele subsecvente pe care victimele le-au descărcat în primăvara anului 2020 au avut, aceste fişiere rămânând nedetectate până la momentul investigaţiei.
[…]
„Aceasta ne spune că “actorul” a avut acces la mediul SolarWinds mult mai devreme de anul 2020. Noi știm că au deţinut acces cel puţin din 10 octombrie 2019. Dar aceştia ar fi trebuit cu siguranță să fi avut acces mult mai devreme.” spune sursa New York Times. „Așa că intruziunea în SolarWinds a provenit probabil cu cel puțin două luni înainte de luna octombrie, adică de la mijlocul anului 2019 [dacă nu mai devreme de atât]“
Fișierele distribuite către victime în Octombrie 2019 au fost semnate cu un certificat SolarWinds cu scopul de a le face să pară legitime pentru platforma software a companiei denumită “Orion”, un instrument utilizat de către administratorii de sistem pentru a monitoriza și configura servere și alte elemente hardware ale reţelei.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.