Sunburst (кібератака)

13 грудня 2020 року було оприлюднено інформацію про масштабну кібератаку проти тисяч державних та недержавних установ у США та за їх межами. Підозра лягла на російське угрупування APT29 (також відоме як «Cozy Bear», «The Dukes»), яке підпорядковане службі зовнішньої розвідки РФ[1][2].

Кібератака «Sunburst»
Дата Почалась не пізніше березня 2020 року, повідомлено широкому загалу 13 грудня 2020 року
Місце Переважна частина жертв — американські підприємства та організації
Перший доповідач Компанія FireEye
Підозрювані APT29, підрозділ Служби зовнішньої розвідки РФ

Кібератака розпочалась не пізніше березня 2020 року[3][4]. Зловмисники використовували вразливості програмного забезпечення щонайменше трьох розробників ПЗ зі США: Microsoft, SolarWinds та VMware[5][6]. Атака ланцюга поставок на хмарний сервіс Microsoft надала зловмисникам один зі шляхів до злому жертв, залежно від того, чи були послуги придбані жертвами через посередника[7][8][9]. Також була здійснена атака ланцюга поставок на жертв, які використовували програми спостереження та управління комп'ютерними мережами Orion від компанії SolarWinds, які широко використовуються урядом та промисловістю США[10][11]. Вади ПЗ від Microsoft та VMWare дозволили зловмисникам отримати доступ до електронних листів та інших документів[12][13][14][15] та виконати федеровану автентифікацію до ресурсів жертви за допомогою технології єдиного входу[6][16][17].

Зловмисникам вдалось вбудувати власний модуль (фахівці компанії FireEye назвали його «Sunburst») в систему Orion, який відкривав «чорний хід» в комп'ютерні мережі жертв[18].

Було атаковано до 200 організацій у всьому світі. Серед них більшу частину склали держоргани США та американські компанії, проте це зачепила і НАТО, парламент Британії та Європейський парламент.[19]

Американський сенатор Дік Дурбін назвав цю атаку рівнозначною оголошенню війни[20][21].

Наслідки

У квітні 2021 року США вислали ряд російських дипломатів, Британія та США звинуватили Росію у спробі дестабілізації[2].

У відповідь на низку великих кібератак, зокрема і «Sunburst», в травні 2021 року Президент США Джозеф Байден видав виконавчий наказ стосовно підсилення кіберзахисту в інформаційних мережах федерального уряду США. Одним із важливих заходів було перелічено і впровадження принципів «нульової довіри»[22].

19 січня 2022 року Президентом США було підписано меморандум, яким було уточнено попередній наказ, перелічено заходи, які мають вжиті керівниками різних федеральних відомств, вказано терміни виконання, тощо. Серед всього іншого, було висунуто вимогу впроваджувати принципи «нульової довіри», зокрема, як окреслено в документі NIST 800—207, тощо[22]>[23].

Відомі жертви

Система Orion має близько 18 тисяч різних користувачів і відповідно зловмисники мали «чорний хід» до їхніх комп'ютерних мереж. Однак, інтерес привернули далеко не всі[18].

За даними компанії Microsoft, отриманими, в першу чергу, від Windows Defender, із 18 тисяч уражених «Sunburst» організацій, зловмисники проникли лише до 40. Тобто, зловмисників цікавили лише близько 0,2 % уражених організацій[24].

Переважна більшість жертв, близько 80 %, знаходяться в Сполучених Штатах. Майже половина, 44 %, жертв — компанії та організації зі сфери інформаційних технологій (розробники програмного забезпечення, виробники обладнання). 18 % жертв — аналітичні центри та неурядові організації. Основна увага серед урядових організацій та підрядників припала на сфери національної безпеки, оборони, медицини, телекомунікацій[24].

Відомо, що зловмисники отримали несанкційований доступ до комп'ютерних мереж та інформаційних систем:

Приватні підприємства

Примітки

  1. Sanger, David E.; Perlroth, Nicole; Schmitt, Eric (15 грудня 2020). Scope of Russian Hack Becomes Clear: Multiple U.S. Agencies Were Hit. Архів оригіналу за 18 грудня 2020. Процитовано 15 грудня 2020 через NYTimes.com.
  2. США висилають російських дипломатів через «злам» SolarWinds. Tokar.ua. 22 квітня 2021. Процитовано 23 квітня 2021.
  3. Bing, Christopher (14 грудня 2020). Suspected Russian hackers spied on U.S. Treasury emails – sources. Reuters. Архів оригіналу за 14 грудня 2020. Процитовано 14 грудня 2020.
  4. O'Brien, Matt; Bajak, Frank (15 грудня 2020). EXPLAINER: How bad is the hack that targeted US agencies?. Houston Chronicle. Архів оригіналу за 14 грудня 2020. Процитовано 15 грудня 2020.
  5. Menn, Joseph (18 грудня 2020). Microsoft says it found malicious software in its systems. Reuters. Архів оригіналу за 18 грудня 2020. Процитовано 17 грудня 2020.
  6. VMware Flaw a Vector in SolarWinds Breach?. Krebs on Security. 7 грудня 2020. Процитовано 18 грудня 2020.
  7. Russian hackers compromised Microsoft cloud customers through third party, putting emails and other data at risk. www.msn.com.
  8. Satter, Joseph Menn, Raphael (24 грудня 2020). Suspected Russian hackers used Microsoft vendors to breach customers через www.reuters.com.
  9. Perlroth, Nicole (25 грудня 2020). Russians Are Believed to Have Used Microsoft Resellers in Cyberattacks через NYTimes.com.
  10. Russian hack was 'classic espionage' with stealthy, targeted tactics. The Washington Post. 14 грудня 2020. Архів оригіналу за 14 грудня 2020. Процитовано 18 грудня 2020.
  11. Wolff, Josephine (16 грудня 2020). What We Do and Don't Know About the Massive Federal Government Hack. Slate. Архів оригіналу за 16 грудня 2020. Процитовано 17 грудня 2020.
  12. Hvistendahl, Mara; Lee, Micah; Smith, Jordan (17 грудня 2020). Russian Hackers Have Been Inside Austin City Network for Months. The Intercept. Архів оригіналу за 17 грудня 2020. Процитовано 18 грудня 2020.
  13. CISA orders agencies to quickly patch critical Netlogon bug. CyberScoop. 21 вересня 2020. Архів оригіналу за 30 жовтня 2020. Процитовано 18 грудня 2020.
  14. Group Behind SolarWinds Hack Bypassed MFA to Access Emails at US Think Tank. SecurityWeek.com. Архів оригіналу за 16 грудня 2020. Процитовано 17 грудня 2020.
  15. Goodin, Dan (15 грудня 2020). SolarWinds hackers have a clever way to bypass multi-factor authentication. Ars Technica. Архів оригіналу за 16 грудня 2020. Процитовано 17 грудня 2020.
  16. Cimpanu, Catalin (18 грудня 2020). NSA warns of federated login abuse for local-to-cloud attacks. Zero Day. Ziff-Davis. Процитовано 19 грудня 2020.
  17. Satter, Raphael (22 грудня 2020). 'Dozens of email accounts' were hacked at U.S. Treasury -Senator Wyden через uk.reuters.com.
  18. Dan Goodin (17 грудня 2020). SolarWinds hack that breached gov networks poses a “grave risk” to the nation. Ars Technica.
  19. U.K. Government, NATO Join U.S. in Monitoring Risk From Hack. Bloomberg L.P. 14 грудня 2020. Архів оригіналу за 15 грудня 2020. Процитовано 16 грудня 2020.
  20. Gould, Joe (17 грудня 2020). No. 2 Senate Democrat decries alleged Russian hack as ‘virtual invasion’. Defense News.
  21. Sanger, David E.; Perlroth, Nicole; Barnes, Julian E. (16 грудня 2020). Billions Spent on U.S. Defenses Failed to Detect Giant Russian Hack. The New York Times. Архів оригіналу за 16 грудня 2020. Процитовано 16 грудня 2020.
  22. Mark Pomerleau (26 січня 2022). Welcome to Thunderdome: Pentagon awards zero trust architecture prototype. Defense News.
  23. Mark Pomerlau (19 січня 2022). Biden signs memorandum to secure sensitive national security systems. C4isrnet.
  24. Dan Goodin (18 грудня 2020). Microsoft president calls SolarWinds hack an “act of recklessness“. Ars Technica.
  25. Dan Goodin (18 грудня 2020). Microsoft is reportedly added to the growing list of victims in SolarWinds hack. Ars Technica.
  26. Хакери, ймовірно, пов’язані з владою Росії, отримали доступ до вихідного коду Microsoft, Радіо Свобода, 1 січня 2021
  27. Microsoft: хакеры смогли получить доступ к исходному коду ПО, Голос Америки, 1 января 2021

Див. також

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.