Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а также возможно другие сервисы.
В субботу даже состоялось внеочередное заседание Совета национальной безопасности США, посвященное этому вопросу.
Ну и, естественно, ответственными уже называют русских хакеров. Об этом сообщили журналистам некие источники, близкие к расследованию инцидента, которым уже занимаются Агентство кибербезопасности и ФБР.
Сегодня же рано утром FireEye выпустила отчет о выявленной масштабной кибер-операции, проводимой с помощью бэкдора, получившего название SUNBURST.
Хакеры осуществили ранее атаку на цепочку поставок – взломали американского поставщика IT-продуктов SolarWinds и внедрили SUNBURST в легальный установщик ПО Orion (это система управления сетью – NMS). По оценкам FireEye, дата компрометации компании – март-май 2020 года.
В дальнейшем, проникая в сеть клиента SolarWinds, хакеры расширяли свое присутствие и осуществляли сбор и эксфильтрацию внутренней информации. Для этого они использовали как находящиеся в открытом доступе инструменты, такие как “не malware” Cobalt Strike, так и авторские вредоносы, например, не встречавшийся ранее дроппер TEARDROP.
Использовавшееся вредоносное ПО снабжено набором функций для противодействия обнаружению:
– после попадания внутрь атакованной сети, SUNBURST выжидает от 12 до 14 дней прежде чем начать свою активность;
– вредонос проверяет процессы в системе присутствия по черному списку и блокирует те из них, которые соответствуют сервисам мониторинга и антивирусным продуктам;
– вредоносный трафик маскируется под протокол Orion Improvement Program, который используется легальным ПО от SolarWinds.
FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру – в Северной Америке, Европе, Азии. При этом целями являются не только государственные организации, но и компании в различных отраслях народного хозяйства – консалтинг, телеком, технологии, добывающие и пр.
Хакерскую группу, стоящую за этой атакой FireEye обозначают как UNC2452 и не проводят ее атрибуцию с уже известными APT. Тем не менее, журналисты со ссылкой на некие источники, уже поспешили связать атаки на американские Минфин и Минторговли c SUNBURST, а UNC2452 приравнять к APT 29 aka Cozy Bear.
Опять же, журналисты начали распространять информацию, что сама FireEye была скомпрометирована в ходе этой атаки, но в отчете FireEye таких данных нет.
Судя по всему, FireEye обнаружили атаку SUNBURST, после чего получили данные в отношении взлома американских министерств, хотя некоторые инфосек эксперты и в этой связи сомневаются.
Такой винегрет. Как обычно, продолжаем вести наблюдение.
