Microsoft подтвердила, что взлом компаний SolarWinds и FireEye затронул и её сеть. Полгода хакеры чувствовали себя как дома в компьютерных сетях военных, госорганов и компаний США, но, как оказалось, это лишь вершина айсберга одного из самых масштабных незаконных проникновений.
Первой во вторник о взломе своей инфраструктуры заявила одна из крупнейших американских фирм в сфере кибербезопасности FireEye.
Будучи пользователем системы Orion по управлению компьютерными сетями, разработанной SolarWinds, она вместе с очередным обновлением программы занесла к себе вредоносное ПО, с помощью которого злоумышленники похитили инструменты взлома, используемые для тестирования уязвимостей компьютеров и сетей клиентов.
Учитывая, что список клиентов FireEye включает большое число организаций, занимающихся национальной безопасностью Соединенных Штатов и их союзников, новость прозвучала как гром среди ясного неба.
Теперь зловредное ПО у себя в сети обнаружил другой клиент SolarWinds – Майкрософт.
Мало того, как сообщают источники Reuters, продукты Microsoft, в свою очередь, использовались для дальнейшего взлома пользователей самих разработчиков из Редмонда.
В частности, Агентство национальной безопасности США выпустило бюллетень о том, как некоторые облачные сервисы Microsoft Azure могут быть взломаны хакерами, и как противодействовать этому.
Один из экспертов, знакомых с деталями взлома, рассказал Reuters, что хакеры использовали облачные продукты Microsoft, но не засветились в корпоративной инфраструктуре компании.
«Как и другие клиенты SolarWinds, мы активно искали индикаторы этого нападения и можем подтвердить, что мы обнаружили вредоносные двоичные файлы SolarWinds в нашей среде, которые мы изолировали и удалили», – заявил представитель Майкрософт, добавив, что её специалисты не нашли «никаких признаков того, что наши системы использовались для атаки на других».
В связи с инцидентом сегодня ФБР и другие агентства запланировали секретный брифинг для членов Конгресса. Очевидно, им есть, что рассказать, так как об этом взломе уже заявили:
- Министерство финансов США
- Национальное управление телекоммуникаций Министерства торговли США (NTIA)
- Минздрав (NIH)
- Агентство кибербезопасности и инфраструктуры (CISA)
- Министерство внутренней безопасности (DHS)
- Государственный департамент США
- Национальное управление ядерной безопасности (NNSA)
- Министерство энергетики США (DOE)
- Правительства трёх штатов
- И муниципалитет города Остин
Агентство кибербезопасности и инфраструктуры (CISA) совместно с FireEye выпустили перечень подсказок, где и что нужно искать, чтобы узнать, были ли вы взломаны. Однако злоумышленники оказались довольно осторожными и удаляли следы своего присутствия, что во многих случаях не дает понять, какие материалы были украдены.
Нельзя не заметить, что АНБ уже обвинила в причастности к взлому русских хакеров, работающих на российское правительство.
