Русские хакеры!

Цитата: DeC от 15.12.2020 00:08:14Что-то давно не было у нас новостей про русских хакеров. Целых несколько дней.

Вчера Reuters сообщили, что Министерство финансов и Министерство транспорта США были взломаны хакерами. Предположительно была скомпрометирована внутренняя электронная почта, а также возможно другие сервисы.

В субботу даже состоялось внеочередное заседание Совета национальной безопасности США, посвященное этому вопросу.

Ну и, естественно, ответственными уже называют русских хакеров. Об этом сообщили журналистам некие источники, близкие к расследованию инцидента, которым уже занимаются Агентство кибербезопасности и ФБР.

Сегодня же рано утром FireEye выпустила отчет о выявленной масштабной кибероперации, проводимой с помощью бэкдора, получившего название SUNBURST.

Хакеры осуществили ранее атаку на цепочку поставок - взломали американского поставщика IT-продуктов SolarWinds и внедрили SUNBURST в легальный установщик ПО Orion (это система управления сетью - NMS). По оценкам FireEye, дата компрометации компании - март-май 2020 года.

В дальнейшем, проникая в сеть клиента SolarWinds, хакеры расширяли свое присутствие и осуществляли сбор и эксфильтрацию внутренней информации. Для этого они использовали как находящиеся в открытом доступе инструменты, такие как "не malware" Cobalt Strike, так и авторские вредоносы, например, не встречавшийся ранее дроппер TEARDROP.

Использовавшееся вредоносное ПО снабжено набором функций для противодействия обнаружению:
- после попадания внутрь атакованной сети, SUNBURST выжидает от 12 до 14 дней прежде чем начать свою активность;
- вредонос проверяет процессы в системе присутствия по черному списку и блокирует те из них, которые соответствуют сервисам мониторинга и антивирусным продуктам;
- вредоносный трафик маскируется под протокол Orion Improvement Program, который используется легальным ПО от SolarWinds.  

FireEye сообщает, что скомпрометированными оказались сети множества клиентов SolarWinds по всему миру - в Северной Америке, Европе, Азии. При этом целями являются не только государственные организации, но и компании в различных отраслях народного хозяйства - консалтинг, телеком, технологии, добывающие и пр.

Хакерскую группу, стоящую за этой атакой FireEye обозначают как UNC2452 и не проводят ее атрибуцию с уже известными APT. Тем не менее, журналисты со ссылкой на некие источники, уже поспешили связать атаки на американские Минфин и Минторговли c SUNBURST, а UNC2452 приравнять к APT 29 aka Cozy Bear.

Опять же, журналисты начали распространять информацию, что сама FireEye была скомпрометирована в ходе этой атаки, но в отчете FireEye таких данных нет.

Судя по всему, FireEye обнаружили атаку SUNBURST, после чего получили данные в отношении взлома американских министерств, хотя некоторые инфосек эксперты и в этой связи сомневаются.

 Ссылка на твит

 




Такой винегрет.

Цитата: DeC от 15.12.2020 00:08:14

 

• +1.29 / 19