Швейцарское агентство по кибербезопасности Prodaft заявило, что получило доступ к серверам хакерской группы, стоящей за масштабным взломом фирмы SolarWinds и её клиентов. Компания раскрыла подробности о целях и особенностях работы преступников.
В декабре 2020 года одна из крупнейших американских компаний в сфере компьютерной безопасности FireEye неожиданно обнаружила, что в её сети уже довольно давно разгуливают посторонние. Наблюдение выявило, что двери им открыла широко популярная система мониторинга сети Orion, разработанная SolarWinds. Дальнейшее расследование показало, что последняя сначала пала жертвой взлома хакеров, которые затем подменили пакеты автоматического обновления Orion своим кодом и таким образом проникли в сети клиентов SolarWinds.
Масштаб хакерской атаки оказался колоссальным, но что шокировало больше всего, так это список жертв – Минфин, Госдеп, силовые ведомства США, множество компаний, включая Microsoft. Мало того, взлом был обнаружен лишь спустя 9 месяцев. Что успели вынести злоумышленники, никто не знает, но ответственного назначили сразу – Россию.
18’000 клиентов SolarWinds получили вредоносное обновление, однако не все они стали целями дальнейшей атаки хакеров.
По данным Вашингтона, проникновения были совершены в девять правительственных учреждений США и в около 100 частных компаний. Отчет швейцарцев же говорит о том, что хакерская группа SilverFish атаковала 4’720 целей, включая правительственные учреждения, ИТ-поставщиков, банки США и ЕС, ведущие консалтинговые фирмы, одного из мировых производителей Covid-тестов, а также авиационные и оборонные компании.
Prodaft подключилась к борьбе с преступниками в декабре 2020, после того как защита её клиента оказалась скомпрометирована SolarWinds. Используя цифровые отпечатки, оставленные хакерами, специалисты нашли около десятка серверов, с которых шли команды управления зараженными компьютерами. На двух из них защита была слабой, и Prodaft проникла внутрь «пещеры разбойников».
Анализ лог-файлов (журналов) свидетельствует, что с августа по ноябрь SilverFish активно внедрялась в компьютеры жертв, а затем затаилась. В январе 2021 группа возобновила свою работу, которая длилась вплоть до последнего времени.
Швейцарские эксперты говорят, что SilverFish – это «чрезвычайно хорошо организованная группа кибершпионажа», состоящая из четырёх команд, чьи имена 301, 302, 303 и 304. «Работали» группы в основном с понедельника по пятницу с 8 утра до 8 вечера по лондонскому времени. Главными её целями были крупные государственные и частные организации США и Евросоюза. Prodaft не исключает, что шпионаж мог идти и против других регионов.
Серверы SilverFish находились в России и на Украине, а большинство пользовательских комментариев оставлено на английском и русском сленге. Prodaft пишет, что у хакеров есть отдельные признаки спонсируемой государством группы (например, целились в критическую инфраструктуру и не имели меркантильных интересов), однако делать окончательные выводы о той или иной принадлежности SilverFish рано – требуется дополнительный анализ.
