Incydenty hakerskie zawsze dominują w wiadomościach i słusznie. Są dowodem na to, że nikt nie jest bezpieczny, zwłaszcza gdy ofiarą jest duża korporacja z zaawansowanym systemem cyberbezpieczeństwa. Jednym hackiem, który miał znaczący wpływ na krajobraz cyberbezpieczeństwa, był hack SolarWinds.
Ale w przeciwieństwie do innych ataków na dużą skalę, szkody spowodowane atakiem SolarWinds nie ograniczały się do finansów i reputacji firmy. Skutki były tak powszechne, że wpływ włamania dotyczył rządu USA i jego agencji.
Jaka była skala włamania?
SolarWinds to amerykańska firma informatyczna, która specjalizuje się w tworzeniu oprogramowania do zarządzania dla firm i agencji rządowych. Tak więc od samego początku było jasne, że każdy atak hakerski miałby katastrofalne skutki wykraczające poza zasoby i reputację SolarWinds.
Można śmiało powiedzieć, że sama korporacja SolarWinds nie była celem ataku, a jedynie metodą ataku. SolarWinds poinformował, że nieco ponad 18 000 ich klientów pobrało zagrożoną wersję, chociaż nie wszyscy byli aktywnie hakowani.
Około 20% ofiar stanowiły instytucje i agencje rządowe USA, takie jak Departament Bezpieczeństwa Wewnętrznego, Departament Stanu, Narodowa Administracja Bezpieczeństwa Jądrowego i Departament Energii.
Pozostałe 80 procent ofiar stanowiły prywatne korporacje, ale były to duże podmioty w swojej branży, ze sporym udziałem głośnych klientów. Hakowanie dotknęło firmy takie jak Cisco, Intel, Deloitte i Microsoft, a także niektóre instytucje medyczne, szpitale i uniwersytety.
Należy zauważyć, że skala incydentu nie jest jeszcze w pełni znana. Chociaż hakerom udało się uzyskać dostęp do prawie 20 000 klientów SolarWinds, nie oznacza to, że byli w stanie ominąć wewnętrzne systemy bezpieczeństwa i naruszyć pliki oraz dane. Dokładne liczby nie zostały ujawnione, ale według doniesień zhakowano mniej niż 100 klientów.
Na przykład Microsoft był w stanie wykryć natrętne złośliwe oprogramowanie w swoim środowisku i odizolować je na czas. Nie zgłosili żadnych dowodów na to, że dane klientów zostały naruszone lub wyciekły z ataku, co pozwoliło im uciec w większości bez szwanku.
Ale nie wszyscy mieli tyle szczęścia. Hakerom udało się przedostać do dziesiątek e-maili należących do wysokich rangą urzędników w amerykańskim Departamencie Skarbu i prawdopodobnie do właściwości chmury tego departamentu.
Co sprawia, że haker SolarWinds jest inny?
Często incydent włamania jest wynikiem awarii systemu bezpieczeństwa lub wewnętrznej współpracy. Nie dotyczyło to jednak firm dotkniętych tak zwanym włamaniem „Sunburst” — prawie 100 spośród wszystkich, którzy pobrali zainfekowaną aktualizację.
Hakerzy musieli tylko obejść cyberbezpieczeństwo SolarWinds. Następnie przystąpili do dodawania złośliwego kodu do jednej z najczęściej używanych usług oprogramowania firmy, Orion. Incydent włamania był ukryty i niedestrukcyjny, dzięki czemu mógł wślizgnąć się pod radar SolarWinds i pozostać tam przez miesiące.
Kod rozprzestrzenił się na innych klientów, przełączając się na jedną z regularnych aktualizacji oprogramowania, które SolarWinds wysyła do swoich klientów. Tam złośliwy kod utworzył tylne drzwi dla hakerów , pozwalając im zainstalować jeszcze bardziej inwazyjne złośliwe oprogramowanie i szpiegować swoje cele oraz ujawniać wszelkie informacje, które uznali za ważne.
Hakowanie Sunburst ustanowiło precedens w kwestii tego, komu firmy mogą, a komu nie mogą ufać, jeśli chodzi o cyberbezpieczeństwo. W końcu aktualizacje oprogramowania mają zawierać poprawki błędów i aktualizacje zabezpieczeń, aby chronić Twoje systemy przed wykorzystanymi lukami i lukami.
Ten rodzaj ataku jest znany jako atak na łańcuch dostaw . W nim hakerzy atakują najbardziej wrażliwą część łańcucha dostaw firmy, zamiast bezpośrednio uderzać w swój cel. Następnie pakują swoje złośliwe oprogramowanie do zaufanych statków i wysyłają je do rzeczywistych celów. W tym incydencie miało to formę rutynowej aktualizacji oprogramowania.
Kto stał za hackiem SolarWinds?
Nadal nie jest jasne, jaka organizacja lub grupa osób stała za włamaniem, ponieważ jak dotąd żadna grupa hakerów nie zgłosiła tego incydentu. Jednak śledczy federalni wraz z czołowymi ekspertami ds. cyberbezpieczeństwa podejrzewają przede wszystkim rosyjską Służbę Wywiadu Zagranicznego, znaną również jako SVR.
Ten wniosek był kontynuacją wcześniejszych incydentów hakerskich z 2014 i 2015 roku. W tamtym czasie śledztwo przypisało również włamanie na serwery e-mail w Białym Domu i Departamencie Stanu w SVR. Ale jak dotąd Rosja zaprzecza, że miała coś wspólnego z włamaniem SolarWinds, nie pozostawiając jasnego winowajcy.
Co dzieje się po hackowaniu Sunburst?
Jeśli chodzi o bezpośrednie skutki włamania, korporacje i agencje rządowe nadal skanują swoje systemy pod kątem wszelkich dodatkowych tylnych drzwi, które mogli pozostawić atakujący, a także wszelkich wykrytych luk w zabezpieczeniach i uniemożliwiają im wykorzystanie ich w przyszłości atak.
Ale jeśli chodzi o krajobraz cyberbezpieczeństwa korporacyjnego i rządowego, sytuacja zmienia się na zawsze. Po tym, jak Orion SolarWinds został wykorzystany jako koń trojański do infiltracji ich systemów, koncepcja przyjaciela i wroga oraz cyberbezpieczeństwa zerowego zaufania musi się zmienić, aby nadążyć.
Powiązane: Co to jest sieć Zero Trust i jak chroni Twoje dane?
Rządy, korporacje i użytkownicy musieliby zmienić sposób, w jaki postrzegają swoje relacje kooperacyjne i finansowe w zamian za silną tarczę cyberbezpieczeństwa i bezpieczniejszą przyszłość.
Czy powinieneś się martwić?
Hakerzy rzadko biorą to, po co przyszli, i pozostawiają resztę nietkniętą. Wszystko w bazie danych firmy lub rządu ma ogromną wartość.
Podczas gdy firmy, które prowadzą interesy z SolarWinds i firmy powiązane z tymi firmami, których dotyczy problem, wszystkie dwukrotnie sprawdziły swoje systemy po włamaniu, niewiele możesz zrobić jako indywidualny użytkownik.
Nie musisz się martwić, że na jednym z Twoich urządzeń będzie złośliwe oprogramowanie lub backdoor, ponieważ atak był skierowany głównie do korporacji i instytucji. Ale możesz być klientem gigantów technologicznych, takich jak Intel czy Microsoft, i mają oni dane osobowe i finansowe dotyczące Ciebie z poprzednich zakupów.
Śledź wszelkie pilne powiadomienia wysyłane przez dostawców i czy publikują jakiekolwiek publiczne ogłoszenia dotyczące incydentów związanych z bezpieczeństwem. Im szybciej dowiesz się o możliwym naruszeniu danych, tym większe masz szanse na uniknięcie szwanku.
Czy będzie kolejny atak podobny do Sunburst?
Nadal nie wiadomo, czy agencje rządowe i firmy będą w stanie zmodernizować swoje systemy bezpieczeństwa na czas przed kolejnym atakiem.
Ale dopóki korporacje i instytucje będą przenosić wrażliwe i cenne dane, zawsze będą celem grup hakerów, zarówno lokalnych, jak i międzynarodowych.