По данным журналистского расследования The Wall Street Journal (WSJ) группа хакеров, взломавших SolarWinds, смогла проникнуть не только на сервера государственных органов США, но и в компьютерные сети крупнейших американских технологических компаний. С скомпрометированным программным обеспечением SolarWinds для управления ИТ-инфраструктурой работали Intel, NVIDIA, Cisco и многие другие компании, и все они теперь находят в своих сетях установленные бэкдоры.
Источник изображения: The Wall Street Journal
Изданию удалось выяснить, что заражённая сборка программного обеспечения SolarWinds Orion, в котором был установлен бэкдор, была загружена и установлена на компьютеры более двух десятков различных технологических организаций. В теории это открыло для хакеров доступ к потенциально конфиденциальным корпоративным и персональным данным. Среди жертв, например, оказались:
- Технологический гигант Cisco Systems;
- Производитель процессоров Intel;
- Производитель графических карт NVIDIA;
- Крупнейший разработчик программного обеспечения для виртуализации VMware;
- Компания Belkin International, занимающаяся производством компьютерных устройств, в основном устройств связи под брендами LinkSys и Belkin.
По данным внутренней проверки SolarWinds, хакеры могли использовать для распространения вредоносного кода механизм обновления программного обеспечения платформы SolarWinds. В результате под угрозой могли оказаться 18 тысяч её клиентов. В компании отмечают, что смогли отследить действия хакеров как минимум с октября 2019 года. В настоящий момент проводится масштабная проверка произошедшего, в которой SolarWinds оказывает всяческое содействие компаниям, занимающимся вопросами компьютерной безопасности, а также силовым структурам, в том числе органам государственной разведки.
Журналисты The Wall Street Journal обратились к пострадавшим и попросили прокомментировать текущую ситуацию. В Cisco подтвердили, что обнаружили вредоносное ПО на некоторых компьютерах сотрудников, а также на нескольких лабораторных системах. Компания продолжает расследование и пытается определить масштаб произошедшего. «К настоящему моменту масштаб воздействия на продукты и предложения Cisco неизвестен», — ответил представитель компании журналистам WSJ.
На компьютеры компании Intel также был загружен и установлен бэкдор. В компании отметили, что проводят расследование инцидента, но пока не обнаружили доказательств в пользу получения хакерами доступа к внутренней сети компании.
Разработчик программного обеспечения для виртуализации VMware сообщил об обнаружении «ограниченного распространения» вредоносного программного обеспечения в своих системах. В то же время там добавили, что «внутренняя проверка не выявила никаких признаков его эксплуатации».
В электронной переписке представитель компании Belkin отметил, что компания немедленно удалила бэкдор, как только о его наличии заявили представители федеральных властей. «Нами не было выявлено никаких негативных воздействий и последствий в результате этого инцидента», — отметили в компании.
В NVIDIA заявили, что «на момент обращения у них не нашлось доказательств, которые подтвердили бы какие-либо негативные для неё последствия в результате этого инцидента». В то же время там добавили, что продолжают внутреннее расследование.
Журналисты WSJ собирали доказательства о потенциальном заражении компьютеров предполагаемых жертв на основе информации, полученной фирмами по кибербезопасности Farsight Security и RiskIQ. Используя различные методы дешифровки им удалось выяснить, на какие серверы загружался и устанавливался вредоносный код. В некоторых случаях также получалось установить имена организаций, а также выяснить, когда именно вредоносный код, вероятнее всего, был активирован и, следовательно, когда хакеры могли получить доступ к данным на том или ином сервере.
На данный момент неизвестно, что именно хакеры делали с доступом к различным организациям и с каким количеством жертв они успели использовать бэкдор. Однако по мнению расследователей и экспертов по цифровой безопасности, помимо внутренних каналов коммуникаций и правительственных секторов, злоумышленники могли получить доступ к корпоративным перепискам руководящих составов компаний, конфиденциальным данным о текущих и будущих технологических разработках и другим данным. Как указывает издание, в список клиентов SolarWinds входят более 400 из 500 крупнейших мировых компаний рейтинга Fortune 500, а также множество правительственных организаций.
Источник:
