Komunikaty PR

SolarWinds i największy atak hakerski ostatnich lat

2020-12-22  |  01:00

13 grudnia br. świat obiegła informacja o wykrytym masowym ataku hakerskim na wiele agencji rządowych USA, w tym m.in. Departamentów Skarbu, Bezpieczeństwa Wewnętrznego, Departamentu Stanu oraz Pentagonu. Do przeprowadzenia ataku wykorzystano serwer aktualizacji oprogramowania firmy SolarWinds, która jest jednym z największych, globalnych dostawców oprogramowania do zarządzania sieciami, systemami i infrastrukturą informatyczną. Produkty SolarWinds są używane przez ponad 300 tys. organizacji na całym świecie. Poza organizacjami rządowymi w USA, ofiarami ataku były również firmy konsultingowe, technologiczne, telekomunikacyjne oraz naftowo-gazowe w Ameryce Północnej, Europie, Azji i na Bliskim Wschodzie. W Polsce oprogramowania SolarWinds używa m.in. Ministerstwo Spraw Wewnętrznych i Administracji. To najpoważniejszy atak hakerski w 2020 r. i najprawdopodobniej największy tej dekady. 

 

SolarWinds to firma programistyczna, która istnieje od 1999 roku i produkuje platformy oprogramowania, które zarządzają innymi komponentami technologii korporacyjnej - od monitorowania sieci po zarządzanie zgłoszeniami do pomocy technicznej. SolarWinds posiada wielu klientów na całym świecie, w większości są to duże firmy i instytucje rządowe, w tym 425 firm z listy Fortune 500. W Polsce oprogramowanie SolarWinds jest szeroko stosowane w systemach rządowych. 

 

Cyberprzestępcy wykorzystali backdoor

Atak został wykryty w grudniu br. Do jego przeprowadzenia hakerzy wykorzystali platformę SolarWinds – Orion, która służy do scentralizowanego monitorowania wielu obszarów technologicznych w organizacji. Platforma pobiera i koreluje ogromne ilości różnych danych, z tego powodu dostęp do Oriona jest przez organizację ściśle kontrolowany.

 

Hakerzy wbudowali backdoor w aktualizację oprogramowania. Oznacza to, że uzyskanie dostępu do narzędzia monitorującego Orion pozwoliło hakerom swobodnie „zadomowić się” w innych systemach ofiar. Za atakiem ma stać inne państwo, prawdopodobnie Rosja. Celem ataku było gromadzenie informacji wywiadowczych, dlatego szczegóły i skutki ataku możemy poznać dopiero za jakiś czas. Również Microsoft przyznał, że został dotknięty tym atakiem i znalazł złośliwe pliki binarne we własnym oprogramowaniu - dotyczy to platform Azure i Active Directory. W wydanym oświadczeniu firma zapewniła, że dostęp do danych klientów czy usług produkcyjnych nie jest zagrożony, a zagrożenie zostało opanowane. 
 

Atak w łańcuchu dostaw

Ten atak hakerski był bardzo wyrafinowaną i dobrze przeprowadzoną akcją na ogromną skalę. Przypuszcza się, że zastosowaną przez napastników metodą było przejęcie określonego certyfikatu. Certyfikat ten został użyty do sfałszowania innych składników potrzebnych do uzyskania dostępu, co w kolejnym kroku umożliwiło hakerom włamanie się do niektórych systemów w infrastrukturze SolarWinds. Jednym z nich była platforma używana do przygotowywania i wysyłania aktualizacji oprogramowania do klientów platformy Orion. Hakerzy wstawili swój własny kod do jednej lub kilku aktualizacji, które następnie były dystrybuowane do wszystkich użytkowników Oriona. 
 

Taka forma ataku jest często nazywana atakiem na łańcuch dostaw (Supply-Chain Attack). Hakerzy nie atakują tutaj bezpośrednio swoich ofiar, ale uzyskują do nich dostęp pośredni - poprzez inne platformy używane przez organizacje. Czasami określa się tę formę ataku jako Watering Hole. Niezależnie od użytego terminu w rezultacie tysiące firm korzystających z Oriona nieświadomie mogło pobrać złośliwy kod podczas wykonywania aktualizacji oprogramowania, który otwierał hakerom "tylne drzwi" do systemów ofiar. Ten złośliwy kod, nazwany przez analityków ds. bezpieczeństwa Sunburst, instalował również dodatkowy kod, który pozwalał cyberprzestępcom na zdalny dostęp do systemu Orion w dowolnym momencie. Ponieważ Sunburst atakował platformę monitorowania i kontroli, wykrycie samego ataku było praktycznie niemożliwe. Złośliwe oprogramowanie zaczęło być aktywne już w marcu 2020 roku. Możliwe jest, że przez ponad sześć miesięcy wiele organizacji było ofiarami ataku nie wiedząc o tym, a ich bezpieczeństwo było w tym czasie zagrożone. Podejrzewa się, że za atak odpowiedzialna jest rosyjska grupa APT39. Chociaż oficjalne źródła nie potwierdziły tego, forma ataku i użyte złośliwe oprogramowania potwierdzają, że pochodzi on od cyberprzestępców działających na dużą skalę, dobrze zorganizowanych i prawdopodobnie finansowanych przez jakieś państwo. Dlatego rosyjski APT39 jest tu głównym podejrzanym. Wskazuje też na to duża liczba agencji rządowych w USA, które były jednym z głównych celów ataku. 

 

Czy taki atak może się powtórzyć

Ataki tego rodzaju i na tak dużą skalę są niezwykle rzadkie. Chociaż już wcześniej zdarzały się ataki w łańcuchu dostaw, to ich zasięg był znacznie mniejszy. Dostawcy oprogramowania przywiązują dużą wagę do kontroli bezpieczeństwa i dysponują wieloma systemami monitorowania oraz innymi zabezpieczeniami, które „teoretycznie” uniemożliwiają przeprowadzenie tego rodzaju ataku. Jednak w przypadku SolarWinds hakerom udało się odnieść sukces dzięki niezwykle wyrafinowanej manipulacji certyfikatami bezpieczeństwa, pośredniej formie tego ataku i użyciu nieznanego złośliwego kodu. Nawet doświadczeni eksperci ds. bezpieczeństwa byli zaskoczeni skalą i zasięgiem tego ataku. 

 

Nowoczesny monitoring bezpieczeństwa może zazwyczaj wykryć proces eksfiltracji danych (usuwania danych ze środowiska). Oznacza to, że zidentyfikowanie ​​nietypowych wzorców ruchu sieciowego ujawniłyby trwający atak. Jednak techniki zaciemniania kodu użyte przez bardzo dobrych hakerów byłyby w stanie utrudnić wykrycie ataku. Dlatego, mimo że jest mało prawdopodobne abyśmy w najbliższej przyszłości mogli zobaczyć kolejny atak o tak dużej sile i zasięgu, to nie można tego całkowicie wykluczyć.

 

Co zrobić, aby uniknąć ataku 

Ataki typu Watering Hole są niezwykle trudne do wykrycia, ponieważ w takim przypadku główna ofiara nie jest celem początkowego ataku. Dlatego w obszarze zapewnienia bezpieczeństwa współczesne organizacje muszą działać proaktywnie. Narzędzia takie jak platforma BAS (ang. Breach and Attack Simulation) firmy Cymulate umożliwiają sprawdzanie bieżącego stanu przygotowania i podatności organizacji na ataki oraz inne współczesne cyberzagrożenia. Wykonywanie symulacji pozwala poznać potencjalne drogi ataku, wskazując luki w zabezpieczeniach i obszary najbardziej narażone na cyberzagrożenia. Platforma Cymulate jest na bieżąco aktualizowana o wszelkie nowe techniki i metodologie używane przez hakerów (posiada już symulację Immediate Threats Intelligence dla Sunburst). 

 

Przykład ataku SolarWings pokazuje nawet najlepsze zabezpieczenia nie są w stanie zapewnić odpowiedniego poziomu ochrony przed zaawansowanymi i nieznanymi formami cyberataków. Dlatego współczesne organizacje powinny proaktywnie przeciwdziałać naruszeniom bezpieczeństwa wykorzystując do tego nowe technologie i rozwiązania do symulowania ataków. Tylko w ten sposób, będąc o krok przed cybeprzestępcami organizacje mogą skutecznie obronić się przed tysiącami cyberzagrożeń w cyfrowym świecie.

 

Tekst źródłowy: blog.cymulate.com/solarwinds-attack

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
IT i technologie Motorola na MWC 2025: kolejna generacja ekosystemu Smart Connect ze wsparciem moto ai Biuro prasowe
2025-03-03 | 12:05

Motorola na MWC 2025: kolejna generacja ekosystemu Smart Connect ze wsparciem moto ai

W zeszłym roku Motorola i Lenovo utworzyły ekosystem Smart Connect, aby umożliwić płynną współpracę smartfonów, tabletów oraz komputerów
IT i technologie Praca w IT bez doświadczenia. Liderzy EY GDS o tym, jak odnaleźć swoją ścieżkę do sukcesu na rynku IT
2025-02-26 | 11:15

Praca w IT bez doświadczenia. Liderzy EY GDS o tym, jak odnaleźć swoją ścieżkę do sukcesu na rynku IT

Branża IT przyciąga jak magnes. Zwłaszcza obecnie, gdy AI staje się rzeczywistością, która zmienia sposób, w jaki pracujemy i żyjemy. Praca w IT daje
IT i technologie Wyzwania związane z cyfryzacją firm - jak je pokonać?
2025-02-10 | 15:50

Wyzwania związane z cyfryzacją firm - jak je pokonać?

W dzisiejszym dynamicznie zmieniającym się świecie biznesu, cyfryzacja stała się nie tyle opcją, co koniecznością dla firm chcących utrzymać konkurencyjność. Jednak proces

Kalendarium

Więcej ważnych informacji

Jedynka Newserii

Prawo

Handel

Automatyzacja pomaga firmom budować przewagę nad konkurencją. Zwłaszcza wykorzystanie narzędzi sztucznej inteligencji

Firmy coraz chętniej inwestują w cyfryzację i automatyzację procesów, w tym z wykorzystaniem sztucznej inteligencji (AI), co pozwala im oszczędzać czas, redukować koszty operacyjne i poprawiać jakość obsługi klienta. Nowoczesne narzędzia takie jak platforma FlowDog pozwalają relatywnie szybko i efektywnie kosztowo usprawniać procesy obsługi reklamacji, zleceń serwisowych czy analizę danych sprzedażowych. Eksperci podkreślają, że dobrze wdrożona automatyzacja może przynieść zwrot z inwestycji już w ciągu kilku miesięcy, zwiększając konkurencyjność firm na dynamicznie zmieniającym się rynku.

Handel

Odwetowe cła z UE na amerykańskie towary mogą być kolejnym etapem wojny handlowej. Następne decyzje spowodują dalszy wzrost cen

Komisja Europejska zapowiedziała nałożenie ceł na amerykańskie produkty w reakcji na wejście w życie ceł USA na stal i aluminium. Unijne cła o wartości 26 mld zł wejdą w życie 1 kwietnia, a w pełni zostaną wdrożone od 13 kwietnia. Donald Trump już zapowiada, że na to odpowie. – Wchodzimy w etap wojny handlowej między Unią Europejską a Stanami Zjednoczonymi i na pewno będziemy świadkami wielu takich odwetów z każdej strony – ocenia europosłanka Anna Bryłka.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.