Что-то давно не было у нас новостей про русских хакеров. Целых несколько дней.
Вчера
Reuters сообщили, что
Министерство финансов и
Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а также возможно другие сервисы.
В субботу даже состоялось внеочередное заседание
Совета национальной безопасности США, посвященное этому вопросу.
Ну и, естественно, ответственными уже называют русских хакеров. Об этом сообщили журналистам некие источники, близкие к расследованию инцидента, которым уже занимаются
Агентство кибербезопасности и
ФБР.
Сегодня же рано утром
FireEye выпустила
отчет о выявленной масштабной кибероперации, проводимой с помощью бэкдора, получившего название
SUNBURST.
Хакеры осуществили ранее атаку на цепочку поставок - взломали американского поставщика IT-продуктов
SolarWinds и внедрили
SUNBURST в легальный установщик ПО
Orion (это система управления сетью - NMS). По оценкам
FireEye, дата компрометации компании - март-май 2020 года.
В дальнейшем, проникая в сеть клиента
SolarWinds, хакеры расширяли свое присутствие и осуществляли сбор и эксфильтрацию внутренней информации. Для этого они использовали как находящиеся в открытом доступе инструменты, такие как "не malware"
Cobalt Strike, так и авторские вредоносы, например, не встречавшийся ранее дроппер
TEARDROP.
Использовавшееся вредоносное ПО снабжено набором функций для противодействия обнаружению:
- после попадания внутрь атакованной сети,
SUNBURST выжидает от 12 до 14 дней прежде чем начать свою активность;
- вредонос проверяет процессы в системе присутствия по черному списку и блокирует те из них, которые соответствуют сервисам мониторинга и антивирусным продуктам;
- вредоносный трафик маскируется под протокол Orion Improvement Program, который используется легальным ПО от
SolarWinds.
FireEye сообщает, что скомпрометированными оказались сети множества клиентов
SolarWinds по всему миру - в Северной Америке, Европе, Азии. При этом целями являются не только государственные организации, но и компании в различных отраслях народного хозяйства - консалтинг, телеком, технологии, добывающие и пр.
Хакерскую группу, стоящую за этой атакой
FireEye обозначают как
UNC2452 и не проводят ее атрибуцию с уже известными APT. Тем не менее, журналисты со ссылкой на некие источники, уже поспешили связать атаки на американские
Минфин и
Минторговли c
SUNBURST, а
UNC2452 приравнять к
APT 29 aka
Cozy Bear.
Опять же, журналисты начали распространять информацию, что сама
FireEye была скомпрометирована в ходе этой атаки, но в отчете
FireEye таких данных нет.
Судя по всему,
FireEye обнаружили атаку
SUNBURST, после чего получили данные в отношении взлома американских министерств, хотя некоторые инфосек эксперты и в этой связи
сомневаются.
Такой винегрет. Как обычно, продолжаем вести наблюдение.