Алекс-Новости
Назад

Взлом сайтов в США вызван дырой в безопасности компании-разработчика

Опубликовано: 21.12.2020
0
16

Взлом сайтов в США вызван дырой в безопасности компании-разработчика

Скандал с наиболее масштабным взломом ведомственных сайтов в США за всю компьютерную эпоху продолжает набирать обороты. По заявлению агентства Bloomberg, которое ссылается на свои источники и оценки экспертов, всего атаке подверглись более двухсот структур по всему миру. Серьезность ситуации подтверждается тем, что в Белом доме состоялось экстренное совещание по этой повестке, а советник президента США Дональда Трампа по национальной безопасности Роберт О'Брайен был вынужден прервать поездку в Европу и вернуться в Вашингтон.

Однако объявленная направленность этой кибератаки уже подвергается сомнению — в том числе и в заявлениях самого Трампа. По его словам, традиционно найденный в ней «русский след» — не более чем фейк.

Взлом сайтов в США вызван дырой в безопасности компании-разработчика

Взлом длиною в полгода

Согласно опубликованным данным, масштабное заражение компьютерных сетей по всему миру произошло через обновление программного обеспечения Orion компании SolarWinds. Система Orion — это своеобразный диспетчер, который сам занимается вопросами безопасности, контролируя различные устройства, подключенные к корпоративной сети, такие как серверы, рабочие станции, мобильные телефоны и «интернет вещей».

Неудивительно, что подобные программы обычно становятся «лакомой целью» для хакеров. Их атаки, подобно вирусу СПИДа, как правило, воздействуют на «иммунную систему» компьютерной безопасности. Именно это и произошло в период с марта по июнь 2020 года — очередная версия Orion оказалась зараженной троянской программой Sunburst.

Надо подчеркнуть, что неизвестные хакеры отнюдь не рассылали вредоносную почту или ссылки на сайты: воздействие произошло без непосредственного участия персонала компаний-жертв. Для заражения копий системы Orion по всему миру хакеры использовали так называемый «бэкдор» — уязвимость в программном коде самого диспетчера. Троян выдавал себя за программу специализированного сервисного протокола Orion Improvement Program (OIP), после чего устанавливал свою копию внутрь системы и получал контроль не только над самим Orion, но и над всей корпоративной сетью компании-жертвы. Причем исходный источник заражения программного обеспечения до сих пор неясен.

Детальное описание троянской программы можно почерпнуть из обстоятельных отчетов Microsoft или FireEye. При этом начальная точка в обоих описаниях совпадает: вредоносный код содержался не только во внешней для программы Orion среде, но и в одной из библиотек самой компании! Каким образом он туда попал, еще предстоит выяснить, однако это само по себе является оглушительным скандалом. По сути, одна из компаний-лидеров в области безопасности или поместила в свою библиотеку сомнительный код, или, как минимум, не произвела его надлежащий аудит.

Правда, в публикациях Bloomberg, посвященных этой атаке, все гораздо грубее — виновниками опасной атаки привычно названы «русские хакеры». Причем на этот раз, в отличие от пресловутого «взлома почты Хиллари Клинтон» в 2016 году, агентство даже не утруждает себя доказательствами. Утверждение о связи Sunburst с русскими просто постулируется в заголовке и первом абзаце новости, в то время как сам текст не содержит ни единой мысли, доказательства или утверждения о «русском следе».

Взлом сайтов в США вызван дырой в безопасности компании-разработчика

Трамп — против!

Отметим и то, что пока еще действующий президент США, который, как никто, осведомлен о результатах пресловутого совещания в Белом доме, имеет иное мнение по поводу источника атаки на Orion.

«Кибер-хакерство гораздо чаще встречается в фейковых новостях, чем на самом деле. Я был полностью проинформирован, и все под контролем. Россия, Россия, Россия — это приоритетное песнопение, когда что-то происходит, потому что масс-медиа, в основном по финансовым причинам, боятся даже обсуждать, что это мог быть Китай! А он — мог», — написал Трамп в своем Twitter.

Иными словами, ни на каких «русских хакеров» нынешний скандал не свалишь. Действительно, пока нет никаких доказательств или даже намеков на то, что троян Sunburst может быть связан с Россией. Известно лишь то, что среди 300 тысяч клиентов компании SolarWinds только 33 тысячи использовали уязвимый диспетчер Orion, и всех их уже уведомили о случившемся.

При этом, по данным SolarWinds, зараженная версия платформы Orion была установлена у 18 тысяч клиентов, что составляет чуть больше половины от их общего числа. По информации компании, 80% всех затронутых хакерской атакой организаций находятся в США, а остальные рассредоточены в Канаде, Мексике, Бельгии, Испании, Великобритания, Израиле и ОАЭ. Такое распределение не является результатом целенаправленной атаки: как признает сама SolarWinds, в этих странах просто расположено больше клиентов компании, что и создает такую пространственно-политическую картинку.

В свою очередь, Россия представляет собой «белое пятно» на карте заражения, причем по очень простой причине: проприетарное программное обеспечение SolarWinds стоит достаточно недешево, в силу чего отечественные IT-компании предпочитают более доступные аналоги Orion, благо таковых создано уже около двух десятков.

Даже в США угодивший в скандал государственный сектор — это лишь небольшая часть списка жертв Sunburst. Около 44% пострадавших — это IT-компании, разработчики программного обеспечения и поставщики оборудования. В этом, кстати, и состоит основная опасность трояна: пока непонятно, к какому объему конфиденциальных данных смогли получить доступ злоумышленники. Ведь их «улов» может включать не только пароли или логины, которые можно легко поменять на новые, но и внутреннюю информацию о многих программных продуктах. Последнее обстоятельство позволит повторить «атаку на библиотеку», которая столь успешно прошла в случае Orion.

Опасность в том, что атаки продолжаются до сих пор. Неизвестные хакеры сейчас способны взламывать через Orion новые компании даже несмотря на то, что инцидент был предан огласке и активно расследуется.

Взлом сайтов в США вызван дырой в безопасности компании-разработчика

Что в сухом итоге?

Атака SUNBURST все еще не локализована. Несмотря на то, что Microsoft в сотрудничестве с сервисом доменных имен GoDaddy деактивировала главный сайт-координатор трояна, атака идет. Этот аварийный «стоп-кран» действует только на известную версию вредоносной программы, но поскольку трояном управляют извне, это не дает уверенности в том, что именно сейчас хакеры не внедряют в сети пострадавших компаний другие вредоносные программы, уже не завязанные на выключенный сайт.

Одно ясно точно: агентство Bloomberg в очередной раз породило фейковую новость, решив для красного словца оправдать хакерской атакой «русских хакеров» вопиющую недоработку компании SolarWinds.

Источник

Поделиться
Похожие записи
Комментарии:
Комментариев еще нет. Будь первым!
Имя
Укажите своё имя и фамилию
E-mail
Без СПАМа, обещаем
Текст сообщения
Отправляя данную форму, вы соглашаетесь с политикой конфиденциальности и правилами нашего сайта.