По словам президента Microsoft Брэда Смита, продолжавшаяся несколько месяцев хакерская кампания, затронувшая правительственные учреждения США и поставщиков средств кибербезопасности, была «самой крупной и изощренной атакой, которую когда-либо видел», и в ней участвовало огромное количество разработчиков.
Атака, раскрытая охранной фирмой FireEye и Microsoft в декабре, могла затронуть до 18 000 организаций в результате вредоносного ПО Sunburst (или Solorigate), внедренного в программное обеспечение для управления сетью SolarWinds Orion.
«Я думаю, с точки зрения разработки программного обеспечения, вероятно, будет справедливо сказать, что это самая крупная и изощренная атака, которую когда-либо видел мир», — сказал Смит в интервью CBSNews в статье 60 Minutes .
СМОТРЕТЬ: VPN: выбор поставщика и советы по устранению неполадок (бесплатный PDF) (TechRepublic)
Microsoft, которая также была нарушена плохим обновлением Orion, по словам Смита, для расследования атаки было назначено 500 инженеров, но команда (скорее всего, поддерживаемая Россией), стоявшая за атакой, имела более чем вдвое больше инженерных ресурсов.
«Когда мы проанализировали все, что мы видели в Microsoft, мы спросили себя, сколько инженеров, вероятно, работали над этими атаками. И мы пришли к ответу: ну, конечно, более 1000», — сказал Смит.
Среди агентств США, пострадавших от атак, подтверждено, что Министерство финансов США, Агентство кибербезопасности и инфраструктуры (CISA), Министерство внутренней безопасности (DHS) и Государственный департамент США, а также Министерство энергетики США (DOE)
Смит ранее поднимал тревогу в связи с атакой, потому что поддерживаемые правительством кибератаки, сосредоточившие внимание на цепочке поставок технологий, представляют риск для экономики в целом.
«В то время как правительства шпионили друг за другом на протяжении веков, недавние злоумышленники использовали метод, который поставил под угрозу цепочку поставок технологий для экономики в целом», — сказал Смит после раскрытия информации об атаках.
Он сказал, что это была атака "на доверие и надежность критически важной инфраструктуры мира с целью развития разведывательной службы одной страны".
Смит подчеркнул в 60 Minutes что злоумышленники переписали всего 4032 строки кода в Orion, который состоит из миллионов строк кода.
Кевин Мандиа, генеральный директор FireEye, также рассказал о том, как злоумышленники подали сигнал тревоги, но только после того, как злоумышленники успешно зарегистрировали второй смартфон, подключенный к учетной записи сотрудника FireEye, для его двухфакторной системы аутентификации. Сотрудникам нужен этот двухфакторный код для удаленного входа в VPN компании.
«Как и у всех, кто работает из дома, у нас есть двухфакторная аутентификация», — сказала Мандиа.
«На нашем телефоне появляется код. Мы должны ввести этот код. Затем мы можем войти в систему. Сотрудник FireEye входил в систему, но разница заключалась в том, что наши сотрудники службы безопасности смотрели на логин, а мы заметил, что у этого человека было зарегистрировано два телефона на свое имя. Поэтому наш сотрудник службы безопасности позвонил этому человеку, и мы спросили: «Эй, вы действительно зарегистрировали второе устройство в нашей сети?» И наш сотрудник сказал: «Нет. Это было не так, это был не я ».
СМ.: Кибербезопасность: это« дорогостоящее и разрушительное »вредоносное ПО представляет наибольшую угрозу для вашей сети
Чарльз Кармакал, старший вице-президент и главный технический директор группы реагирования на инциденты FireEye Mandiant, ранее сообщил Yahoo News, что система безопасности FireEye предупредила сотрудника и службу безопасности компании о неизвестном устройстве, которое предположительно принадлежало сотруднику.
Злоумышленники получили доступ к имени пользователя и паролю сотрудника через обновление SolarWinds. Эти учетные данные позволили злоумышленнику зарегистрировать устройство в его системе двухфакторной аутентификации.
Обновления Orion не были Единственный способ проникновения в компании во время кампании, в которой хакеры также получали доступ к облачным приложениям. Согласно отчету [19]30% взломанных организаций не имели прямой связи с Solar Winds. 459004] The Wall Street Journal .
