Хакването на SolarWinds е инцидент с невиждани мащаби

Говорейки в началото на миналата година на вечеря, организирана за ръководители на службите за сигурност, ръководителят на киберотбраната на САЩ се похвали колко добре поверената му организацията защитава страната от шпиони.

"Нашите специални екипи разбират врага по-добре, отколкото той разбира себе си", каза тогава генерал Пол Накасоне, ръководител на американското кибер командване. Докато говореше, хакерите инжектираха злонамерен код в мрежата на SolarWinds. След това те започнаха да разгръщат мащабна операция, която им позволи да проникнат в сърцето на американските федерални департаменти и многобройни компании по света.

На 13 декември Reuters съобщи, че хакери, "свързани с Русия", са получили достъп до електронната поща на Министерството на финансите и Министерството на търговията. След това официални лица обявиха, че поне пет държавни агенции и хиляди компании са заразени със зловреден софтуер. Държавният секретар Майк Помпео заяви, че зад атаката стои Русия, която отрече каквото и да било участие. Силните изявления бяха направени в разгара на вече обременената от конфликти президентска надпревара.

Междувременно много неща остават неизвестни, включително мотивите зад кибератаката и нейната крайна цел: според държавните служители не е ясно каква информация е открадната и какво ще трябва да се направи, за да се възстановят щетите.

Агенцията за национална сигурност и Министерството на вътрешната сигурност издадоха технически насоки за справяне със ситуацията.

Какво знаем за най-голямото хакване в историята

Първите съобщения за инцидента се появиха, когато компанията за киберсигурност FireEye обяви, че самата тя е жертва на кибератаки, предотвратяване на каквито ѝ плащат пари. Отначало всичко се възприемаше като пробойна в защитата на FireEye. Хакванията на доставчици на ИТ сигурност са особено опасни, защото техните инструменти често навлизат дълбоко в компютърните системи на клиентите. От ФБР заявиха, че става дума за изключително мощна атака и нейните проблеми вероятно са само върхът на айсберга.

Установено е, че атаката се основава на така наречено компрометиране на веригата за доставки и внедряване на зловреден код в софтуерни актуализации. Както припомниха експерти, през 2017 г. хакери, за които се твърди, че са свързани с Русия, са използвали този метод, за да деактивират компютърните системи на частни компании и държавни агенции в Украйна. Тогава зловреден код, скрит в популярна счетоводна програма, се използваше за стартиране на вируса NotPetya. Той бързо се разпространи на компютри в десетки други страни.

В настоящия случай е използвана подобна техника. SolarWinds заяви, че нейните софтуерни актуализации са компрометирани и използвани за тайно инсталиране на зловреден код в близо 18 хил. клиентски системи. Софтуерът Orion за управление на мрежи на SolarWinds се използва от стотици хиляди организации. Веднъж инсталиран, зловредният софтуер информира хакерите за местоположението си. В някои случаи, когато получаването на достъп е изглеждало особено ценно, престъпниците са внедрявали по-агресивен инструмент. Понякога те са използвали администраторските привилегии на SolarWinds за достъп до облачната платформа на Microsoft Azure и по този начин са имали дългосрочен достъп до корпоративна електронна поща и документи. Хакерите могли да крадат документи чрез приложенията Microsoft Office 365. Стигна се до там, че Microsoft откри злонамерен код дори в собствените си системи.

Все още не е известно как и кога софтуерът на SolarWinds е бил компрометиран за първи път. Очевидно всичко е започнало още през октомври 2019 г.

Как ще реагира Белият дом В Сената на САЩ се спори дали инцидентът е масов акт на кибер шпионаж или "де факто обявяване на война", като има заявления, че Америка трябва да отговори на атаката, а не само със санкции. Пезидентът Джо Байдън обеща, че виновните "ще платят скъпо за това, което са направили".

Конгресът твърди, че укрепването както на публичните, така и на частните мрежи трябва да бъде приоритет за администрацията на новия президент на САЩ. Американските разузнавателни агенции все по-често биват обвинявани, че се интересуват предимно от нападателни кибератаки, а не от защита на правителствената си инфраструктура.

Според някои експерти, десетилетия парични инжекции, регистрации на патенти и други усилия не са променили нищо, а изоставането в отбранителните способности се оказва много по-драматично, както разкрива хакването на SolarWinds. Основният приоритет на властите трябва да бъде коренното изменение на ситуацията в киберзащитата.