Tech
Now Reading
Винегрет в стиле киберпанк – HUGE CYBER ESPIONAGE CAMPAIGN
520 13

Винегрет в стиле киберпанк – HUGE CYBER ESPIONAGE CAMPAIGN

by Dmitry TsepilovanDecember 14, 2020

Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а также возможно другие сервисы.

В субботу даже состоялось внеочередное заседание Совета национальной безопасности США, посвященное этому вопросу.

Ну и, естественно, ответственными уже называют русских хакеров. Об этом сообщили журналистам некие источники, близкие к расследованию инцидента, которым уже занимаются Агентство кибербезопасности и ФБР.

Сегодня же рано утром FireEye выпустила отчет  о выявленной масштабной кибер-операции, проводимой с помощью бэкдора, получившего название SUNBURST.

Хакеры осуществили ранее атаку на цепочку поставок – взломали американского поставщика IT-продуктов SolarWinds и внедрили SUNBURST в легальный установщик ПО Orion (это система управления сетью – NMS). По оценкам FireEye, дата компрометации компании – март-май 2020 года.

В дальнейшем, проникая в сеть клиента SolarWinds, хакеры расширяли свое присутствие и осуществляли сбор и эксфильтрацию внутренней информации. Для этого они использовали как находящиеся в открытом доступе инструменты, такие как “не malware” Cobalt Strike, так и авторские вредоносы, например, не встречавшийся ранее дроппер TEARDROP.

Использовавшееся вредоносное ПО снабжено набором функций для противодействия обнаружению:
– после попадания внутрь атакованной сети, SUNBURST выжидает от 12 до 14 дней прежде чем начать свою активность;
– вредонос проверяет процессы в системе присутствия по черному списку и блокирует те из них, которые соответствуют сервисам мониторинга и антивирусным продуктам;
– вредоносный трафик маскируется под протокол Orion Improvement Program, который используется легальным ПО от SolarWinds.

FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру – в Северной Америке, Европе, Азии. При этом целями являются не только государственные организации, но и компании в различных отраслях народного хозяйства – консалтинг, телеком, технологии, добывающие и пр.

Хакерскую группу, стоящую за этой атакой FireEye обозначают как UNC2452 и не проводят ее атрибуцию с уже известными APT. Тем не менее, журналисты со ссылкой на некие источники, уже поспешили связать атаки на американские Минфин и Минторговли c SUNBURST, а UNC2452 приравнять к APT 29 aka Cozy Bear.

Опять же, журналисты начали распространять информацию, что сама FireEye была скомпрометирована в ходе этой атаки, но в отчете FireEye таких данных нет.

Судя по всему, FireEye обнаружили атаку SUNBURST, после чего получили данные в отношении взлома американских министерств, хотя некоторые инфосек эксперты и в этой связи сомневаются.

Такой винегрет. Как обычно, продолжаем вести наблюдение.

What's your reaction?
Love It
0%
Interested
0%
Meh...
0%
What?
0%
Hate It
0%
Sad
0%
About The Author
Dmitry Tsepilovan
I've always had the ability to see the bigger picture and work towards a greater goal.