В статья от 14 декабря 2020 г. мы говорили о FireEye и как его взломали. Эта же компания 8 декабря прошлого года проинформировала общественность о том, что произошло.
Затем мы попытались задать себе несколько вопросов на основе того, что было известно, и набросать некоторые ответы.
Сегодня, почти через три месяца после инцидента, мы можем попытаться сделать некоторые шаги вперед, будучи уверенными в том, что атака, известная как Солоригейт, будем говорить еще долго.
Между тем, выяснилось, что атака произошла через софтверную компанию для FireEye (и не только!) компания называется SolarWinds и базируется в Техасе.
Одна вещь, которую мы можем сразу увидеть, - это эффект атаки на две компании: FireEye сохранила стоимость своих акций, которая действительно выросла, в то время как SolarWinds потерял!
Это просто для того, чтобы сказать, какие «последствия» может иметь кибератака, с экономической точки зрения, чтобы было ясно, если кто-то все еще сомневается в последствиях в реальном мире. В этом случае эффекты, которые я показал, относятся только к производителю программного обеспечения, но если бы мы должны были оценить экономические потери из-за этой атаки, он должен был бы включить анализ около 18.000 государственных и негосударственных организаций, а также цифру, которая вышло бы могло быть пугающе высоким. Давай отпустим.
SolarWinds разработала продукт, который клиенты используют для обновления систем. Так обстоит дело, например, с Microsoft и многими другими, которые использовали продукт SolarWinds продукт, известный как «Орион», используется многими организациями и компаниями для управления ИТ-активами.
Наверное, в начале 2020 года SolarWinds отправил обновления, содержащие задняя дверь, который позволял хакерам получать доступ к системам, исследовать и извлекать данные, но, вероятно, также мог изменять некоторые из полученных данных. Это означает, что у хакеров было не менее шести месяцев до того, как их поймали.
Согласно недавним сообщениям в газетах, следователи полагают, что среди хакеров есть российские элементы и что это была шпионская кампания. В этой связи необходимо сказать, что администрация Байдена работает над атрибуцией атаки.
Среди пострадавших, помимо FireEye кто первым сообщил об инциденте, есть некоторые из основных американских институтов, включая Государственный департамент, Казначейство, Национальную безопасность, Энергетику и торговлю, Национальный институт здравоохранения и Национальное управление ядерной безопасности, а также несколько компаний, которые входят в число самых крупных в мире. мир, внесенный в список Fortune 500, включая Microsoft, Cisco, Intel, Deloitte ...
Согласно экспертному анализу, как только хакеры получили доступ к сетям и системам жертв, во многих случаях они манипулировали частью программного обеспечения Microsoft под названием «Службы федерации Active Directory», которое занимается выдачей «цифровых удостоверений» для жертв. «Токены SAML».
Сейчас дискуссия, даже политическая, сосредоточена на том факте, что эта техника атаки была известна как минимум с 2017 года, когда израильский исследователь Шакед Райнер описал эту технику атаки под названием «Золотая атака SAML». Фактически, многие требуют объяснений, почему американские сети и системы не защищены должным образом, несмотря на огромные инвестиции, сделанные в этом секторе.
Я уверен, что по этому делу можно еще многое сказать SolarWindsОднако в заключение я хочу сделать вывод: наше общество все больше зависит от Интернета и цифровых систем. Однако эта зависимость все больше подвергается опасности из-за растущих рисков, связанных с кибератаками.
Вероятно, пришло время государствам начать серьезную совместную работу по снижению рисков с помощью серьезной совместной стратегии, если только вы не хотите рискнуть отменить последние 50 лет цифрового развития в поисках нового, устойчивого и безопасного пути.
Для углубления:
- FireEye кем взломан? - Интернет-защита
- Санберст: кибер-перл-Харбор? - Интернет-защита
- FireEye делится подробностями недавней кибератаки и действиями по защите сообщества | FireEye Inc.
- FireEye обнаружила брешь в SolarWinds, исследуя собственный взлом - Bloomberg
- Встроенный просмотрщик XBRL (sec.gov)
- WH `` заострит атрибуцию '' с Россией после взлома SolarWinds (nypost.com)
- Что такое Solorigate - Cybersecurity Insiders (cybersecurity-insiders.com)
