Инвестфонды США знали об атаке хакеров. Или это не атака хакеров

13 декабря 2020 года компания по кибербезопасности FireEye сообщила¹, что финансируемые иностранным правительством хакеры взломали компьютерные сети американского производителя программного обеспечения SolarWinds² и внедрили вредоносное обновление в его ПО Orion.

По версии SolarWinds³, зараженная версия платформы Orion была установлена у 18 000 клиентов из 300 000. Среди клиентов SolarWinds значатся государственные, консалтинговые, технологические, телекоммуникационные и нефтегазовые компании в Северной Америке, Европе, Азии и на Ближнем Востоке. В США клиентами компании являются несколько основных поставщиков телекоммуникационных услуг, все подразделения вооруженных сил США, Агентство национальной безопасности США, госдепартамент и офис президента. Пользуются данным ПО и организации, подозреваемые в связях с чеченскими сепаратистами и русскоязычные торговцы наркотиками.

Руководитель компании FireEye Кевин Мандиа написал в блоге⁴, что эта атака отличалась от десятков тысяч других в отношении FireEye, а также заявил, что хакеры использовали новую неизвестную ему комбинацию техник и предположил, что атака спонсировалась на государственном уровне.

FireEye сообщает⁵, что ее учетные записи Microsoft Office 365 были похищены, а система сборки подверглась злоупотреблениям, что противоречит возможности использования открытых учетных данных FTP для загрузки вредоносного кода. Компания утверждает, что вредоносное ПО не присутствовало в репозитории исходного кода продуктов Orion.

Агентство Reuters 14 декабря первым сообщило⁶ о взломах министерства финансов и торговли, заявив, что они были совершены группой, поддерживаемой иностранным правительством. Взлому было посвящено заседание Совета национальной безопасности в Белом доме 12 декабря. Правительство США и ФБР⁷ не называет предполагаемый источник кибератаки.

Источники Washington Post и The New York Times⁸ возлагают ответственность⁹ за атаку на группировку APT29, или Cozy Bear, которая “предположительно работает под эгидой ФСБ России и СВР России”.

16 декабря в Washington Post вышла статья¹⁰ о том, что инвестфонды из Silver Lake и Thoma Bravo продали акции SolarWinds на $158 и $128 млн за шесть дней до того, как стало известно о взломе. Обе инвестфирмы владеют 70% SolarWinds и контролируют шесть мест в совете директоров компании, что открывает доступ к ключевой финансовой информации. Сроки продажи акций указывают о возможном использовании инсайдерской информации.

Исследователь кибербезопасности Винот Кумара¹¹ считает, что компрометация ПО произошла в 2019 году, когда учетные данные сервера обновлений ПО SolarWinds были опубликованы в открытом доступе на GitHub. Сервер обновлений был доступен с паролем solarwinds123, о чем он уведомил компанию, которая исправила проблему через три дня. Однако репозиторий на Github был до этого доступен в течение долгого времени. Исследователь настаивает на том, что данная утечка свидетельствует о низком уровне безопасности в компании, что подрывает теорию о высоком искусстве хакеров, необходимом для совершения атаки.

По данным Reuters¹², хакеры на подпольных форумах ранее предлагали продать доступ к компьютерам SolarWinds.

Говорить о влиянии данной новости на международную политику еще рано, несмотря на заявления некоторых представителей государственных структур США и политических деятелей о необходимости жесткого ответа России, поскольку ни правительство США, ни расследующие кибератаку службы не заявили о своей уверенности в причастности российских спецслужб к данной операции.

Более подробная информация представлена в аналитическом материале «Технические особенности кибератаки, способы детектирования, рекомендации для клиентов»