Selitetty: Massiivinen kyberhyökkäys Yhdysvalloissa, jossa käytettiin uusia työkaluja

Yksi suurimmista Yhdysvaltain valtion virastoihin ja yksityisiin yrityksiin kohdistuneista kyberhyökkäyksistä, 'SolarWinds-hakkerointi' nähdään todennäköisenä maailmanlaajuisena yrityksenä. Miten se toteutettiin ja millaisia ​​tietoja on vaarantunut? Miksi Yhdysvaltain hallituksen virkamiehet ja poliitikot ovat nimenneet Venäjän?

Kyberhyökkäyksen kohteena oli SolarWinds-yhtiön toimittama ohjelmisto Orion. (Reutersin valokuva)

'SolarWinds-hakkerointi', Yhdysvalloissa hiljattain löydetty kyberhyökkäys, on noussut yhdeksi suurin koskaan kohteena Yhdysvaltain hallitusta, sen virastoja ja useita muita yksityisiä yrityksiä vastaan. Itse asiassa kyseessä on todennäköisesti globaali kyberhyökkäys.

Sen löysi ensimmäisenä yhdysvaltalainen kyberturvallisuusyhtiö FireEye, ja sen jälkeen uusia kehityssuuntia tulee ilmi joka päivä. Kyberhyökkäyksen laajuus on edelleen tuntematon, vaikka Yhdysvaltain valtiovarainministeriön, sisäisen turvallisuuden ministeriön, kauppaministeriön ja osien Pentagonin uskotaan kärsineen.

Vuonna an mielipidekirjoitus varten kirjoitettu New York Times , Thomas P Bossert, joka oli presidentti Donald Trumpin kotimaan turvallisuuden neuvonantaja, on nimennyt Venäjän hyökkäyksen tekijäksi. Hän kirjoitti SolarWinds-hyökkäyspisteissä todisteita SVR:ksi tunnetulle venäläiselle tiedustelupalvelulle, jonka ammattialukset ovat yksi maailman edistyneimmistä. Kreml on kiistänyt osallisuutensa.

Joten mikä tämä 'SolarWinds-hakkerointi' on?

Uutiset kyberhyökkäyksestä tulivat teknisesti ensimmäisen kerran 8. joulukuuta, kun FireEye julkaisi blogin, joka havaitsi hyökkäyksen sen järjestelmiä vastaan. Yritys auttaa useiden suurten yksityisten yritysten ja liittovaltion virastojen tietoturvahallinnassa.

FireEyen toimitusjohtaja Kevin Mandia kirjoitti blogikirjoituksessaan, että erittäin kehittynyt uhkatoimija hyökkäsi yrityksen kimppuun ja kutsui sitä valtion tukemaksi hyökkäykseksi, vaikka se ei nimennyt Venäjää. Se sanoi, että hyökkäyksen toteutti kansakunta, jolla on huipputason hyökkäyskyky, ja hyökkääjä etsi ensisijaisesti tietoja, jotka liittyvät tiettyihin valtion asiakkaisiin. Se sanoi myös, että hyökkääjien käyttämät menetelmät olivat uusia.

Sitten 13. joulukuuta FireEye sanoi, että kyberhyökkäys, jonka se sai nimekseen Campaign UNC2452, ei kohdistunut yritykseen, vaan se oli kohdistunut useisiin julkisiin ja yksityisiin organisaatioihin ympäri maailmaa. Kampanja alkoi todennäköisesti maaliskuussa 2020 ja on jatkunut kuukausia, viesti kertoo. Mikä pahempaa, varastettujen tai vaarantuneiden tietojen laajuus ei ole vielä tiedossa, koska hyökkäyksen laajuus on edelleen selvillä. Kun järjestelmät olivat vaarantuneet, tapahtui sivuttaisliikettä ja tietovarkauksia.

Miten niin moniin Yhdysvaltain valtion virastoihin ja yrityksiin hyökättiin?

Tätä kutsutaan 'Supply Chain' -hyökkäykseksi: Sen sijaan, että hakkerit hyökkäsivät suoraan liittovaltion hallitusta tai yksityisen organisaation verkkoa vastaan, ne kohdistavat kohteen kolmannen osapuolen toimittajaan, joka toimittaa heille ohjelmistoja. Tässä tapauksessa kohteena oli texasilaisen SolarWindsin toimittaman Orion-niminen IT-hallintaohjelmisto.

Orion on ollut SolarWindsin hallitseva ohjelmisto asiakkaiden kanssa, joihin kuuluu yli 33 000 yritystä. SolarWinds sanoo, että vaikutukset ovat vaikuttaneet 18 000 sen asiakkaisiin. Yritys on muuten poistanut asiakasluettelon virallisilla verkkosivuillaan.

Sivun mukaan, joka on myös poistettu Googlen verkkoarkistosta, listalla on 425 yritystä Fortune 500 -listalla, joka on Yhdysvaltain kymmenen parhaan teleoperaattorin joukko. New York Timesin raportin mukaan osa Pentagonista, tautien valvonta- ja ehkäisykeskuksista, ulkoministeriöstä, oikeusministeriöstä ja muista joutuivat kaikkiin vaikutuksiin.

Microsoft vahvisti löytäneensä todisteita haittaohjelmista heidän järjestelmissään, vaikka se lisäsi, ettei ollut todisteita pääsystä tuotantopalveluihin tai asiakastietoihin tai että sen järjestelmiä olisi käytetty hyökkäämiseen muihin. Microsoftin presidentti Brad Smith sanoi, että yritys on alkanut ilmoittaa yli 40 asiakkaalle hyökkääjien kohdistamisesta tarkemmin ja vaarantumisesta.

Reutersin raportin mukaan hakkerit valvoivat jopa Homeland Securityn virkamiesten lähettämiä sähköposteja.

Miten he pääsivät sisään?

FireEyen mukaan hakkerit pääsivät uhreihin SolarWindsin Orionin IT-seuranta- ja hallintaohjelmiston troijalaispäivitysten kautta. Periaatteessa ohjelmistopäivitystä hyödynnettiin Sunburst-haittaohjelman asentamiseksi Orioniin, jonka sitten asensi yli 17 000 asiakasta.

FireEye sanoo, että hyökkääjät luottivat useisiin tekniikoihin välttääkseen havaitsemisen ja hämärtääkseen toimintaansa. Haittaohjelma pääsi käsiksi järjestelmätiedostoihin. FireEyen mukaan haittaohjelman eduksi toimi se, että se pystyi sulautumaan lailliseen SolarWinds-toimintaan.

Kun haittaohjelma oli asennettu, se antoi hakkereille takaoven pääsyn SolarWindsin asiakkaiden järjestelmiin ja verkkoihin. Vielä tärkeämpää on, että haittaohjelma pystyi myös estämään työkaluja, kuten virustorjunta, jotka pystyivät havaitsemaan sen.

Mihin Venäjä tulee?

NYT:n mielipideartikkelissaan Bossert nimesi Venäjän ja sen viraston SVR:n, jolla on valmiudet toteuttaa niin kekseliäinen ja mittakaavainen hyökkäys.

Microsoft huomauttaa blogissaan, että tämä hyökkäys loi lähes maailmanlaajuisesti merkittävän toimitusketjun haavoittuvuuden, joka ulottui useisiin suuriin kansallisiin pääkaupunkeihin Venäjän ulkopuolella. Se lisää, että pitkälle kehitetyt hyökkäykset Venäjältä ovat yleistyneet.

FireEye ei kuitenkaan ole vielä nimennyt Venäjää vastuulliseksi ja sanoi, että se on meneillään tutkinta FBI:n, Microsoftin ja muiden keskeisten kumppaneiden kanssa, joita ei ole nimetty.

Mitä SolarWinds ja Yhdysvaltain hallitus ovat sanoneet hakkeroinnista?

Juuri nyt SolarWinds suosittelee, että kaikki asiakkaat päivittävät välittömästi olemassa olevan Orion-alustan, jossa on korjaustiedosto tälle haittaohjelmalle. Jos ympäristössä havaitaan hyökkääjän toimintaa, suosittelemme kattavan tutkimuksen suorittamista sekä korjausstrategian suunnittelua ja toteuttamista, joka perustuu tutkinnan löydöksiin ja vaikutetun ympäristön yksityiskohtiin, se on sanonut.

Niitä, jotka eivät pysty päivittämään, kehotetaan eristämään SolarWinds-palvelimet, ja sen tulisi sisältää kaiken Internet-ulostulon estäminen SolarWinds-palvelimista. Vähimmäisehdotus on salasanan vaihtaminen tileille, joilla on pääsy SolarWinds-palvelimiin/infrastruktuuriin.

Yhdysvaltain kyberturvallisuus- ja infrastruktuurin turvallisuusvirasto (CISA) on julkaissut hätätilannedirektiivin 21-01, jossa pyydetään kaikkia liittovaltion siviilivirastoja tarkistamaan verkkonsa kompromissien varalta. Se on pyytänyt heitä katkaisemaan SolarWinds Orion -tuotteet välittömästi tai sammuttamaan virran.

FBI, CISA ja kansallisen tiedustelupalvelun johtajan toimisto antoivat yhteisen julkilausuman ja ilmoittivat niin sanotun 'Cyber ​​Unified Coordination Groupin (UCG)' koordinoimaan hallituksen vastausta kriisiin. Lausunnossa sanotaan, että tämä on merkittävä ja jatkuva kyberturvallisuuskampanja.

Valkoinen talo ja presidentti Donald Trump ovat olleet hiljaa. Senaattori Mitt Romney tiivisti asian parhaiten kommenteissaan SiriusXM-radion toimittaja Olivier Knoxille, jossa hän vertasi tätä hyökkäystä vastaavaan, kun venäläiset pommikoneet lentävät havaitsematta ympäri maata paljastaen Yhdysvaltojen kybersodankäynnin heikkouden. Hän sanoi, että Valkoisen talon hiljaisuus ja toimettomuus oli anteeksiantamatonta.

Senaattori Richard Blumenthal, demokraatti, twiittasi: Venäjän kyberhyökkäys sai minut syvästi huolestuneeksi, itse asiassa suorastaan ​​peloksi.

Valittu presidentti Joe Biden sanoi lausunnossaan: Hyvä puolustus ei riitä; Meidän täytyy häiritä ja estää vastustajamme ryhtymästä merkittäviin kyberhyökkäuksiin.

Jaa Ystäviesi Kanssa: