Большой передел мира
267,081,535
522,274
|
DeC ( Профессионал ) |
| 15 дек 2020 00:08:14 |
Русские хакеры!
новая дискуссия Дискуссия 201
Что-то давно не было у нас новостей про русских хакеров. Целых несколько дней. 
Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а также возможно другие сервисы.
В субботу даже состоялось внеочередное заседание Совета национальной безопасности США, посвященное этому вопросу.
Ну и, естественно, ответственными уже называют русских хакеров. Об этом сообщили журналистам некие источники, близкие к расследованию инцидента, которым уже занимаются Агентство кибербезопасности и ФБР.
Сегодня же рано утром FireEye выпустила отчет о выявленной масштабной кибероперации, проводимой с помощью бэкдора, получившего название SUNBURST.
Хакеры осуществили ранее атаку на цепочку поставок - взломали американского поставщика IT-продуктов SolarWinds и внедрили SUNBURST в легальный установщик ПО Orion (это система управления сетью - NMS). По оценкам FireEye, дата компрометации компании - март-май 2020 года.
В дальнейшем, проникая в сеть клиента SolarWinds, хакеры расширяли свое присутствие и осуществляли сбор и эксфильтрацию внутренней информации. Для этого они использовали как находящиеся в открытом доступе инструменты, такие как "не malware" Cobalt Strike, так и авторские вредоносы, например, не встречавшийся ранее дроппер TEARDROP.
Использовавшееся вредоносное ПО снабжено набором функций для противодействия обнаружению:
- после попадания внутрь атакованной сети, SUNBURST выжидает от 12 до 14 дней прежде чем начать свою активность;
- вредонос проверяет процессы в системе присутствия по черному списку и блокирует те из них, которые соответствуют сервисам мониторинга и антивирусным продуктам;
- вредоносный трафик маскируется под протокол Orion Improvement Program, который используется легальным ПО от SolarWinds.
FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру - в Северной Америке, Европе, Азии. При этом целями являются не только государственные организации, но и компании в различных отраслях народного хозяйства - консалтинг, телеком, технологии, добывающие и пр.
Хакерскую группу, стоящую за этой атакой FireEye обозначают как UNC2452 и не проводят ее атрибуцию с уже известными APT. Тем не менее, журналисты со ссылкой на некие источники, уже поспешили связать атаки на американские Минфин и Минторговли c SUNBURST, а UNC2452 приравнять к APT 29 aka Cozy Bear.
Опять же, журналисты начали распространять информацию, что сама FireEye была скомпрометирована в ходе этой атаки, но в отчете FireEye таких данных нет.
Судя по всему, FireEye обнаружили атаку SUNBURST, после чего получили данные в отношении взлома американских министерств, хотя некоторые инфосек эксперты и в этой связи сомневаются.
Такой винегрет.
Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а также возможно другие сервисы.
В субботу даже состоялось внеочередное заседание Совета национальной безопасности США, посвященное этому вопросу.
Ну и, естественно, ответственными уже называют русских хакеров. Об этом сообщили журналистам некие источники, близкие к расследованию инцидента, которым уже занимаются Агентство кибербезопасности и ФБР.
Сегодня же рано утром FireEye выпустила отчет о выявленной масштабной кибероперации, проводимой с помощью бэкдора, получившего название SUNBURST.
Хакеры осуществили ранее атаку на цепочку поставок - взломали американского поставщика IT-продуктов SolarWinds и внедрили SUNBURST в легальный установщик ПО Orion (это система управления сетью - NMS). По оценкам FireEye, дата компрометации компании - март-май 2020 года.
В дальнейшем, проникая в сеть клиента SolarWinds, хакеры расширяли свое присутствие и осуществляли сбор и эксфильтрацию внутренней информации. Для этого они использовали как находящиеся в открытом доступе инструменты, такие как "не malware" Cobalt Strike, так и авторские вредоносы, например, не встречавшийся ранее дроппер TEARDROP.
Использовавшееся вредоносное ПО снабжено набором функций для противодействия обнаружению:
- после попадания внутрь атакованной сети, SUNBURST выжидает от 12 до 14 дней прежде чем начать свою активность;
- вредонос проверяет процессы в системе присутствия по черному списку и блокирует те из них, которые соответствуют сервисам мониторинга и антивирусным продуктам;
- вредоносный трафик маскируется под протокол Orion Improvement Program, который используется легальным ПО от SolarWinds.
FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру - в Северной Америке, Европе, Азии. При этом целями являются не только государственные организации, но и компании в различных отраслях народного хозяйства - консалтинг, телеком, технологии, добывающие и пр.
Хакерскую группу, стоящую за этой атакой FireEye обозначают как UNC2452 и не проводят ее атрибуцию с уже известными APT. Тем не менее, журналисты со ссылкой на некие источники, уже поспешили связать атаки на американские Минфин и Минторговли c SUNBURST, а UNC2452 приравнять к APT 29 aka Cozy Bear.
Опять же, журналисты начали распространять информацию, что сама FireEye была скомпрометирована в ходе этой атаки, но в отчете FireEye таких данных нет.
Судя по всему, FireEye обнаружили атаку SUNBURST, после чего получили данные в отношении взлома американских министерств, хотя некоторые инфосек эксперты и в этой связи сомневаются.
Такой винегрет.
ОТВЕТЫ (1)
|
|
DeC ( Профессионал ) |
| 15 дек 2020 00:13:01 |
Цитата: DeC от 15.12.2020 00:08:14
Продолжая тему взлома SolarWinds.
Во-первых, проблемы с инфосеком у компании были уже давно.
Во-вторых, они остаются и сейчас - даже после публикации информации о взломе в СМИ и поднявшегося вслед за этим скандала, SolarWinds не удосужились удалить со своего сервера несколько затрояненых сборок.
Поставщики NMS для правительственных американских агентств, включая CISA и USCYBERCOM...
