Incydenty hakerskie zawsze dominują w wiadomościach i słusznie. Są dowodem na to, że nikt nie jest bezpieczny, zwłaszcza gdy ofiarą jest duża korporacja z wyrafinowanym systemem cyberbezpieczeństwa. Jednym hackiem, który miał znaczący wpływ na krajobraz cyberbezpieczeństwa, był hack SolarWinds.
Ale w przeciwieństwie do innych hacków na dużą skalę, szkody spowodowane atakiem SolarWinds nie ograniczały się do finansów i reputacji firmy. Skutki były tak powszechne, że wpływ włamania dotyczył rządu USA i jego agencji.
Jaka była skala włamania?
SolarWinds to amerykańska firma informatyczna, która specjalizuje się w tworzeniu oprogramowania do zarządzania dla firm i agencji rządowych. Tak więc od samego początku było jasne, że każdy atak hakerski miałby katastrofalne skutki wykraczające poza zasoby i reputację SolarWinds.
Można śmiało powiedzieć, że sama korporacja SolarWinds nie była celem ataku, a jedynie metodą ataku. SolarWinds poinformował, że nieco ponad 18 000 ich klientów zostało zainfekowanych złośliwym oprogramowaniem hakera.
Około 20 procent ofiar stanowiły instytucje i agencje rządowe USA, takie jak Departament Ojczyzny Bezpieczeństwa, Departament Stanu, Narodowa Administracja Bezpieczeństwa Jądrowego i Departament Energii, m.in inni.
Pozostałe 80 procent ofiar stanowiły prywatne korporacje, ale były to duże podmioty w swojej branży, ze sporym udziałem głośnych klientów. Hakowanie dotknęło firmy takie jak Cisco, Intel, Deloitte i Microsoft, a także niektóre instytucje medyczne, szpitale i uniwersytety.
Należy zauważyć, że skala incydentu nie jest jeszcze w pełni znana. Chociaż hakerom udało się uzyskać dostęp do prawie 20 000 klientów SolarWinds, nie oznacza to, że byli w stanie ominąć wewnętrzne systemy bezpieczeństwa i naruszyć pliki oraz dane.
Na przykład Microsoft był w stanie wykryć natrętne złośliwe oprogramowanie w swoim otoczeniu i izolować je w czasie. Nie zgłosili żadnych dowodów na to, że dane klientów zostały naruszone lub wyciekły z ataku, co pozwoliło im uciec bez szwanku.
Ale nie wszyscy mieli tyle szczęścia. Hakerom udało się przedrzeć do kilkudziesięciu e-maile należące do wysokich rangą urzędników w amerykańskim Departamencie Skarbu i prawdopodobnie we właściwościach chmury departamentu.
Co sprawia, że haker SolarWinds jest inny?
Często incydent włamania jest wynikiem awarii systemu bezpieczeństwa lub wewnętrznej współpracy. Ale tak nie było w przypadku tysięcy firm, które padły ofiarą włamania na SolarWinds, nazwanego Sunburst.
Hakerzy musieli tylko obejść cyberbezpieczeństwo SolarWinds. Następnie przystąpili do dodawania złośliwego kodu do jednej z najczęściej używanych usług oprogramowania firmy, Orion. Incydent hakerski był ukryty i niedestrukcyjny, dzięki czemu mógł wślizgnąć się pod radar SolarWinds i pozostać tam przez miesiące.
Kod rozprzestrzenił się na innych klientów, przełączając się na jedną z regularnych aktualizacji oprogramowania, które SolarWinds wysyła do swoich klientów. Tam powstaje złośliwy kod backdoor dla hakerów, co pozwala im instalować jeszcze bardziej inwazyjne złośliwe oprogramowanie i szpiegować swoje cele oraz ujawniać wszelkie informacje, które uznają za ważne.
Hakowanie Sunburst ustanowiło precedens w kwestii tego, komu firmy mogą, a komu nie mogą ufać, jeśli chodzi o cyberbezpieczeństwo. W końcu aktualizacje oprogramowania mają zawierać poprawki błędów i aktualizacje zabezpieczeń, aby chronić Twoje systemy przed wykorzystanymi lukami i lukami.
Ten rodzaj ataku jest znany jako atak na łańcuch dostaw. W nim hakerzy atakują najbardziej wrażliwą część łańcucha dostaw firmy, zamiast bezpośrednio uderzać w swój cel. Następnie pakują swoje złośliwe oprogramowanie do zaufanych statków i wysyłają je do rzeczywistych celów. W tym incydencie miało to formę rutynowej aktualizacji oprogramowania.
Kto stał za hackiem SolarWinds?
Nadal nie jest jasne, jaka organizacja lub grupa osób stała za włamaniem, ponieważ jak dotąd żadna grupa hakerów nie zgłosiła tego incydentu. Jednak śledczy federalni wraz z czołowymi ekspertami ds. cyberbezpieczeństwa podejrzewają przede wszystkim rosyjską Służbę Wywiadu Zagranicznego, znaną również jako SVR.
Ten wniosek był kontynuacją wcześniejszych incydentów hakerskich z 2014 i 2015 roku. W tamtym czasie śledztwo przypisało również włamanie na serwery pocztowe w Białym Domu i Departamencie Stanu na SVR. Ale jak dotąd Rosja zaprzecza, że ma coś wspólnego z włamaniem SolarWinds, nie pozostawiając jasnego winowajcy.
Co dzieje się po hackowaniu Sunburst?
Jeśli chodzi o bezpośrednie skutki włamania, korporacje i agencje rządowe nadal skanują swoje systemy w poszukiwaniu dodatkowych backdoorów atakujący mogli odejść, a także wszelkie luki w zabezpieczeniach, które mogli odkryć i uniemożliwić im wykorzystanie ich w przyszłości atak.
Ale jeśli chodzi o krajobraz cyberbezpieczeństwa korporacyjnego i rządowego, sytuacja zmienia się na zawsze. Po tym, jak Orion SolarWinds został wykorzystany jako koń trojański do infiltracji ich systemów, koncepcja przyjaciela i wroga oraz cyberbezpieczeństwa zerowego zaufania musi się zmienić, aby nadążyć.
Związane z: Co to jest sieć Zero Trust i jak chroni Twoje dane?
Rządy, korporacje i użytkownicy musieliby zmienić sposób, w jaki postrzegają swoje relacje kooperacyjne i finansowe w zamian za silną tarczę cyberbezpieczeństwa i bezpieczniejszą przyszłość.
Czy powinieneś się martwić?
Hakerzy rzadko biorą to, po co przyszli, i pozostawiają resztę nietkniętą. Wszystko w bazie danych firmy lub rządu ma ogromną wartość.
Podczas gdy firmy, które prowadzą interesy z SolarWinds, oraz firmy powiązane z osobami dotkniętymi tym problemem wszystkie firmy dwukrotnie sprawdziły swoje systemy po włamaniu, niewiele możesz zrobić jako osoba fizyczna użytkownik.
Nie musisz się martwić, że na jednym z Twoich urządzeń znajduje się złośliwe oprogramowanie lub backdoor, ponieważ atak był skierowany głównie do korporacji i instytucji. Ale możesz być klientem gigantów technologicznych, takich jak Intel czy Microsoft, i mają oni dane osobowe i finansowe dotyczące Ciebie z poprzednich zakupów.
Śledź wszelkie pilne powiadomienia wysyłane przez dostawców i czy publikują jakiekolwiek publiczne ogłoszenia dotyczące incydentów związanych z bezpieczeństwem. Im szybciej dowiesz się o możliwym naruszeniu Twoich danych, tym większe masz szanse na uniknięcie szwanku.
Czy będzie kolejny atak podobny do Sunburst?
Nadal nie wiadomo, czy agencje rządowe i firmy będą w stanie zmodernizować swoje systemy bezpieczeństwa na czas przed kolejnym atakiem.
Ale tak długo, jak korporacje i instytucje przenoszą wrażliwe i cenne dane, zawsze będą celem grup hakerów, zarówno lokalnych, jak i międzynarodowych.
Prawdopodobnie słyszałeś o cyberataku SolarWinds, więc co to jest? A czy zostałeś dotknięty?
Czytaj dalej
- Bezpieczeństwo
- Złośliwe oprogramowanie
- Hakerstwo
- Ochrona danych
- Naruszenie bezpieczeństwa
- Bezpieczeństwo cybernetyczne
Anina jest niezależnym autorem technologii i bezpieczeństwa internetowego w MakeUseOf. Zaczęła pisać w cyberbezpieczeństwie 3 lata temu, mając nadzieję, że stanie się bardziej dostępna dla przeciętnego człowieka. Chętny do uczenia się nowych rzeczy i ogromny nerd astronomii.
Zapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować
