Взломы Минфина США и FireEye стали результатом атаки на цепочку поставок

[Artifact]

Правительственные хакеры внедрили вредоносное ПО в обновления для платформы SolarWinds Orion.

Финансируемые иностранным правительством хакеры взломали компьютерные сети американского производителя программного обеспечения SolarWinds и внедрили вредоносное обновление для его ПО Orion с целью заражения сетей использующих его правительственных и коммерческих организаций. Об этом в воскресенье, 13 декабря, сообщила ИБ-компания FireEye.
Отчет FireEye последовал сразу же за сообщениями в СМИ о кибератаке на Министерство финансов США и Управление телекоммуникаций и информации (NTIA) Министерства торговли США, в результате которой были похищены конфиденциальные данные. Примечательно, что хакеры использовали атаку на цепочку поставок путем взлома SolarWinds и рассылки вредоносного обновления для взлома сетей самой FireEye, о котором компания сообщила на прошлой неделе.
По словам источников издания Washington Post, ответственность за атаки лежит на группировке APT29, часто связываемой с российскими спецслужбами. Однако специалисты FireEye не стали упоминать APT29, а дали киберпреступникам нейтральное кодовое название UNC2452. Тем не менее, несколько источников из ИБ-сообщества подтвердили изданию ZDNet, что, судя по имеющимся доказательствам, за атаками действительно стоит APT29.
В воскресенье о взломе SolarWinds также сообщила компания Microsoft, в частном порядке разославшая своим потенциально затронутым клиентам соответствующие инструкции.
Вечером в воскресенье SolarWinds выпустил пресс-релиз, в котором подтвердил факт кибератаки на Orion – программную платформу для централизованного мониторинга и управления IT-ресурсами в крупных сетях, в том числе серверами, рабочими станциями, мобильными и IoT-устройствами и пр. Как сообщил производитель, злоумышленники внедрили вредоносное ПО в версии обновлений Orion с 2019.4 по 2020.2.1, выпущенные в марте-июне 2020 года.
В своем отчете специалисты FireEye называют вредонос SUNBURST (правила детектирования доступны здесь ). Microsoft назвала его Solorigate и добавила правила детектирования в свой Защитник Windows.
Согласно отчету FireEye, вредоносная компания не нацелена строго на США и затрагивает «общественные и частные организации по всему миру».
«Среди жертв есть государственные, консалтинговые, технологические, телекоммуникационные и горнодобывающие компании в Северной Америке, Европе, Азии и на Ближнем Востоке. Мы ожидаем дополнительных жертв в других странах и сферах», – сообщили исследователи.