Дослідник безпеки: "solarwinds123" Пароль, що залишив фірму вразливою у 2019 році
Сага про SolarWinds поступово погіршується. Кілька днів тому з’явилася новина про те, що близько 18 000 компаній були скомпрометовані актором національної держави. Вважається, що зловмисники пов'язані з Cozy Bear, він же APT29, він же російський уряд. Злом вдарив по кількох державних установах США, охоронній компанії FireEye та багатьох інших компаніях.
Коли відбуваються подібні порушення, головне питання полягає в тому, як хакери змогли проникнути насамперед. SolarWinds - велика американська компанія, яка розробляє програмне забезпечення для управління мережею та інфраструктурою, і має величезний список клієнтів. Схоже, дослідники безпеки вже якийсь час намагаються змусити компанію звернути увагу на основні недоліки у захисті.
Дослідник безпеки Вінот Кумар повідомив Reuters, що зв’язався з компанією в 2019 році, попередивши її про те, що кожен може отримати доступ до її сервера оновлення, відгадавши пароль „solarwinds123”. Reuters також повідомляє, що хакери, які заявляють, що можуть продати доступ до комп'ютерів SolarWinds з 2017 року. З формулювання історії не ясно, чи була пропозиція на спосіб проникнення в SolarWinds сама, чи чорна шапка пропонувала продати доступ до комп'ютери, які використовували програмне забезпечення SolarWinds.
Потім, є такий шматочок:
«Кайл Хенслован, співзасновник компанії Huntress із штату Меріленд - зауважив, що через кілька днів після того, як SolarWinds зрозуміла, що їх програмне забезпечення було скомпрометовано, шкідливі оновлення все ще доступні для завантаження».
Я хочу зрозуміти, що цей конкретний пароль не вважається засобом, за допомогою якого Cozy Bear отримав доступ до інструменту управління мережею SolarWinds, який отримав назву Orion, але це говорить про жахливу культуру безпеки в компанії, враховуючи потреби користувачів у безпеці даних. Оскільки Orion часто використовується для управління маршрутизаторами та комутаторами у великих корпоративних мережах, проникнення програмного забезпечення дало чорним капелюхам дивовижне вікно у зовнішній та внутрішній мережевий трафік майже 20 000 компаній, федеральних агентств та інших типів організацій.
Оскільки розслідування все ще триває, багато чого ми не знаємо, але приблизно 33 000 клієнтів із загальної кількості клієнтів у 330 000 клієнтів, як повідомляється, розгорнули Orion. Якщо дані SolarWinds точні, це означає, що до 54 відсотків клієнтської бази продукту може бути порушено. Ми знаємо, що APT29 не порушив безпосередньо сховище вихідного коду SolarWinds; атака націлена на систему побудови програмного забезпечення.
FireEye описує шлях зараження наступним чином:
Троянізований файл оновлення - це стандартний файл виправлення інсталятора Windows, який включає стислі ресурси, пов’язані з оновленням, включаючи троянізований компонент SolarWinds.Orion.Core.BusinessLayer.dll. Після встановлення оновлення шкідлива DLL буде завантажена законними SolarWinds.BusinessLayerHost.exe або SolarWinds.BusinessLayerHostx64.exe (залежно від конфігурації системи). Після періоду спокою до двох тижнів шкідливе програмне забезпечення спробує вирішити субдомен avsvmcloud [.] Com.
Хакери, які провели цю атаку, дуже, дуже хороші. Нова інформація свідчить про те, що вони стояли за низкою атак на певний аналітичний центр ще в 2019 та 2020 роках. Ars Technica має про це більше (це трохи стосується SolarWinds, але корисно, якщо ви хочете прочитати більше про те, що робить Cosy Bear та тактика, яку вона використовує).
Протягом останніх кількох днів було багато новин. SolarWinds видалив свій гучний список клієнтів, можливо, щоб захистити їх від поганої реклами. Microsoft та деякі її галузеві партнери захопили домен управління та керування, який використовується для запуску скомпрометованих машин.
Розслідування цього злому все ще триває, і ми поки не знаємо подробиць того, як це сталося, але атаки такого масштабу та складності, як правило, дуже серйозні. Компрометоване програмне забезпечення SolarWinds було використано для проникнення в CDC, Міністерство національної безпеки, Міністерство юстиції, Пентагон та Державний департамент. Слідчі очікують, що вони можуть виявити кілька векторів атаки, а не одну точку атаки.
Розслідування злому тривають на всіх рівнях, але Агентство з питань кіберінфраструктури та безпеки США наразі відсутнє на посаді керівника, оскільки президент Дональд Трамп звільнив Крістофера Кребса за відмову підтримати або підтримати його безпідставні заяви про фальсифікацію виборів. Також давно виникають занепокоєння тим, що CISA не має достатніх ресурсів для реагування на кризу такого масштабу та масштабу.
"Зараз у нас все гаразд", - заявив анонімний співробітник CISA Politico, але "це, мабуть, зміниться ... Багато агентств ще не знають, як вони в огні".
Ця історія розвивається щодня, коли з’являється нова інформація. Слабкий пароль на сервері оновлення SolarWinds, хоча, можливо, і не відповідає безпосередньо за нинішнє становище компанії, мало що добре говорить про основну ситуацію з безпекою.
Читати далі
Зразок астероїда OSIRIS-REx НАСА просочується у космос
NASA повідомляє, що зонд схопив з астероїда стільки реголіту, що він витікає з колектора. Зараз команда працює над тим, щоб визначити, як найкраще уберегти дорогоцінний вантаж від втечі.
AMD купує розробника FPGA Xilinx за 35 мільярдів доларів
Угода, яку ми обговорювали на початку цього місяця, надасть AMD доступ до нових ринків, на яких вона раніше не грала, включаючи ПЛІС та штучний інтелект.
NASA: Астероїд все ще міг потрапити на Землю в 2068 році
Цей астероїд розміром з хмарочос може все-таки потрапити на Землю в 2068 році, згідно з новим аналізом Гавайського університету та лабораторією реактивного руху НАСА.
НАСА створило колекцію моторошних космічних звуків на Хелловін
Останній випуск даних NASA перетворює сигнали з-поза Землі в моторошні звуки, які, безсумнівно, викликають озноб у вашій хребті.