1. >
  2. Блог >
  3. Александр_С

Подозреваемые российские хакеры использовали вендоров Microsoft для взлома клиентов

25 декабря 2020 11:09:07   796 1 +4.08 / 81
Источник

Цитата
Вашингтон (Reuters) - подозреваемые российские хакеры, стоящие за худшей кибератакой США за последние годы, использовали доступ реселлеров к услугам Microsoft Corp для проникновения в объекты, которые не имели скомпрометированного сетевого программного обеспечения от SolarWinds Corp, заявили следователи. В то время как обновления программного обеспечения SolarWinds Orion ранее были единственной известной точкой входа, охранная компания CrowdStrike Holdings Inc заявила в четверг, что хакеры получили доступ к вендору, который продал ей офисные лицензии, и использовали его, чтобы попытаться прочитать электронную почту CrowdStrike. В нем не было конкретно указано, что хакеры были теми, кто скомпрометировал SolarWinds, но два человека, знакомые с расследованием CrowdStrike, сказали, что они были. CrowdStrike использует офисные программы для обработки текстов, но не электронной почты. Неудачная попытка, предпринятая несколько месяцев назад, была отмечена CrowdStrike компанией Microsoft 15 декабря. CrowdStrike, которая не использует SolarWinds, заявила, что не обнаружила никаких последствий от попытки вторжения, и отказалась назвать имя вендора. “Они проникли через доступ вендора и попытались включить привилегии” чтения "почты", - сказал агентству Reuters один из людей, знакомых с расследованием. "Если бы он использовал Office 365 для электронной почты, это была бы игра окончена.” Многие лицензии на программное обеспечение Microsoft продаются через третьих лиц, и эти компании могут иметь почти постоянный доступ к системам клиентов, поскольку клиенты добавляют продукты или сотрудников.
Microsoft заявила в четверг, что эти клиенты должны быть бдительны. "Наше расследование недавних атак выявило инциденты, связанные со злоупотреблением учетными данными для получения доступа, которые могут иметь несколько форм”, - сказал старший директор Microsoft Джефф Джонс. “Мы не выявили никаких уязвимостей или компрометации продукта Microsoft или облачных сервисов.” Использование вендора Microsoft для попытки взлома крупнейшей компании цифровой обороны ставит новые вопросы о том, сколько путей хакеры, которые, как утверждали американские официальные лица, действуют от имени российского правительства, имеют в своем распоряжении. К числу известных жертв до сих пор относятся CrowdStrike security rival FireEye Inc и Министерства обороны, торговли, финансов и национальной безопасности США. Другие крупные компании, включая Microsoft и Cisco Systems Inc, заявили, что нашли зараженное программное обеспечение SolarWinds внутри компании, но не обнаружили признаков того, что хакеры использовали его для широкого распространения в своих сетях. До сих пор Техасский SolarWinds был единственным публично подтвержденным каналом для первоначальных взломов, хотя официальные лица уже несколько дней предупреждали, что хакеры имели другие пути проникновения. Неделю назад агентство Reuters сообщило, что в атаках использовались продукты Microsoft. Но федеральные чиновники заявили, что они не рассматривали его в качестве начального вектора, а гигант программного обеспечения заявил, что его системы не использовались. Затем Microsoft намекнула, что ее клиентам все еще следует быть осторожными. В конце длинного технического сообщения в блоге во вторник он использовал одно предложение, чтобы упомянуть, что хакеры достигают облака Microsoft 365 "из доверенных учетных записей поставщиков, где злоумышленник скомпрометировал среду поставщиков.” Корпорация Майкрософт требует, чтобы ее поставщики имели доступ к клиентским системам для установки продуктов и предоставления доступа новым пользователям. Но обнаружить, какие поставщики все еще имеют права доступа в любой момент времени, настолько сложно, что CrowdStrike разработала и выпустила инструмент аудита для этого. После серии других нарушений через облачных провайдеров, включая крупный набор атак, приписываемых китайским правительственным хакерам и известных как CloudHopper, Microsoft в этом году ввела новые меры контроля над своими реселлерами, включая требования к многофакторной аутентификации. Агентство по кибербезопасности и инфраструктурной безопасности и Агентство национальной безопасности не дали немедленных комментариев. Также в четверг SolarWinds выпустила обновление для исправления уязвимостей в своем флагманском программном обеспечении для управления сетями Orion после обнаружения второго набора хакеров, нацеленных на продукты компании. Это последовало за отдельным сообщением в блоге Microsoft в пятницу, в котором говорилось, что SolarWinds имела в своем ПО возможности для второй и не связанной с первой группы хакеров в дополнение к тем, кто связан с Россией. Личность второй группы хакеров, или степень, в которой они могли успешно проникнуть в любое место, остается неясной.
Россия отрицает свою причастность к хакерским атакам.

1. Русские хакеры - почему? Потому!
2. Кто-то получал доступ (или пытался это сделать), получив доступ к вендорам Микрософт, которые имеют доступ к сетям покупателей продуктов Микрософт (сама микрософт напрямую практически ничего никому не продает, только через вендоров).
3. Реально взломаны CrowdStrike security rival FireEye Inc и Министерства обороны, торговли, финансов и национальной безопасности США. Остальные, хотя и получили очередное ПО от SolarWinds с бэкдором, но реально следов хакеров не обнаружили.
Маленькое разъяснение для непрограммистов:

Чтобы вам легче было понять, что произошло и почему до сих пор многое непонятно - вот объяснение "на пальцах". Представьте, что SolarWinds это контора, которая делает суперкрутые замки, которые обычно устанавливают у богатых. Кто-то (ясное дело - "злобные русские хакеры") спер мастер-ключ, которые открывает 18000 замков. У вас такой замок. Но пока не понятно, заходил ли к вам кто-то, воспользовавшись этим мастер-ключем или нет. А если даже и заходил, то украл что-нибудь или нет. Может просто зашел и вышел, может прослушку в одной комнате поставил, а может утащил заначку, которую вы от жены прятали и рассказать нельзя и жалко/обидно.
Опубликовано в: Большой передел мира
  • +4.08 / 81
Поделиться в социальных сетях:

КОММЕНТАРИИ (1)

Ивиан Корн
 
Россия
Пермь
38 лет
Слушатель
Карма: +565.02
Регистрация: 13.05.2009
Сообщений: 1,213
Читатели: 0
Источник\n\n
1. Русские хакеры - почему? Потому!
2. Кто-то получал доступ (или пытался это сделать), получив доступ к вендорам Микрософт, которые имеют доступ к сетям покупателей продуктов Микрософт (сама микрософт напрямую практически ничего никому не продает, только через вендоров).
3. Реально взломаны CrowdStrike security rival FireEye Inc и Министерства обороны, торговли, финансов и национальной безопасности США. Остальные, хотя и получили очередное ПО от SolarWinds с бэкдором, но реально следов хакеров не обнаружили.
Маленькое разъяснение для непрограммистов:
Во всей этой хакерской херне мне одно не понятно - версия со внутренним терррориз... взломом вообще не рассматривается что-ли?
Это ведь выгодно и респам и демам?
Демам - для выйгрыша выборов (ведь "ломались" и гос. агенства, соответственно можно получить доступ к текущей информации по организации и проведению выборов и т.д.).
Респам - свалить все на Иран, Россию, КНДР, Китай, демократов...
Вы рассказывайте все что посчитаете нужным, остальное я додумаю. В ваших интересах рассказать больше, оставив меньше для моих фантазий и фантазий экспертов.
+1.00 / 18