Atlantic.Net poskytuje toto bezpečnostní upozornění jako novinku; chceme naše zákazníky ujistit, že Atlantic.Net nepoužívá žádné produkty SolarWinds interně ani v žádné z našich nabídek služeb.
Firmy, organizace a vládní instituce se potácejí z dopadů hacku SolarWinds. Příběh tohoto dalekosáhlého narušení bezpečnosti vypukl kolem 14. prosince 2020 a ani nyní neznáme úplný dopad incidentu. Každý den se dozvídáme více o rozsahu tohoto bezprecedentního kybernetického útoku na dodavatelský řetězec.
Víme, že v březnu 2020 hackeři přepadli počítačovou infrastrukturu SolarWinds a získali kontrolu nad servery pro správu obsahu SolarWinds. V dubnu 2020 zlí herci vložili sofistikovaný malware do „pravých“ digitálně podepsaných aktualizací SolarWinds.
Dotčené aktualizace byly automatické aktualizace, které klientské počítače vyhledávají při stahování bezpečnostních záplat a oprav hotfix pro aplikace SolarWinds Orion. Tento široce důvěryhodný postup aktualizace softwaru používá nespočet technologických společností po celém světě.
Pro zákazníky SolarWinds, kteří si stáhli a nainstalovali otrávenou aktualizaci, hackeři použili kompromitovanou aktualizaci k vložení malwaru nazvaného SUNBURST do napadených zákaznických serverů. Malware zřejmě zůstal nečinný asi 2 týdny, pravděpodobně se vyhnul detekci, než byl aktivován velitelským a kontrolním místem (C2) pomocí subdomén shromážděných malwarem.
Bezpečnostní experti se domnívají, že malware ležel nečinný od dubna do července 2020 a skrýval se na očích, a mnozí se domnívají, že toto období bylo využito k průzkumu cílů aktéry hrozeb k identifikaci cílů s nejvyšší hodnotou. I když nevíme, jaká data byla ohrožena, víme, že pravděpodobně došlo k narušení dat Office 365, potenciálně z OneDrive, dokumentů Wordu, webů Sharepoint a tak dále.
Seznam vysoce známých obětí se každým dnem rozrůstá. Je známo, že některá z největších jmen v oblasti technologie a vlády byla porušena. Mnoho bezpečnostních expertů spekuluje, že útok zorganizovalo Rusko, což je názor podpořený společným prohlášením zveřejněným FBI, CISA, ODNI a NSA, které tvrdí, že špatní aktéři byli pravděpodobně Rusové.
CISA byla tímto porušením natolik znepokojena, že 14. prosince nařídila vypnout a odpojit všechny nevojenské vládní systémy, které provozovaly software SolarWinds Orion, a odpojit je od sítě.
Co je to útok na dodavatelský řetězec?
Útok na dodavatelský řetězec je bezpečnostní incident, ke kterému dochází, když do systému cíle pronikne zákeřný hráč, který zneužije externího partnera nebo poskytovatele služeb k získání neoprávněného přístupu k systémům a datovým souborům cíle.
Globální podniky jsou nyní propojeny více než kdy jindy v historii. Cloud computing a internet poskytují nástroje, které podnikům umožňují rychle sdílet velké množství důvěrných obchodních dat. Běžnou praxí je, že podniky nakupují software a hardware jeden od druhého, aby zlepšily své vlastní nabídky pro své zákazníky. V rámci tohoto útoku na dodavatelský řetězec podniky, globální organizace a vládní instituce USA zakoupily systém správy sítě SolarWinds Orion, aby získaly přehled o svých sítích.
Skutečnými oběťmi hacku nejsou SolarWinds, ale 18 000 zákazníků, kteří nikdy neočekávali, že se stanou obětí sofistikovaného hacku, který nemají pod kontrolou, hacku, který se může ukázat jako potenciálně největší kybernetický útok v historii, a útoku, který může vést k dramatickým změnám v kybernetické bezpečnosti.
Útok v dodavatelském řetězci odpálí kontroly kybernetické bezpečnosti dokořán. Oběti se řídily osvědčenými postupy v oblasti kybernetické bezpečnosti tím, že zajistily, aby jejich platformy byly aktualizovány na nejnovější verzi; nevěděli, že jejich poskytovatel technologie, SolarWinds, byl infiltrován podezřelými ruskými hackerskými jednotkami, které otrávily aktualizace, aby infikovaly celý dodavatelský řetězec.
Kdo byl cílem útoku na dodavatelský řetězec?
Náš obraz tohoto hacku se neustále mění, jak se příběh odvíjí, a možná ještě mnoho měsíců nebudeme znát úplný rozsah hacku. Ale víme, že americká vláda byla výrazně ovlivněna. Existují zprávy, že cílem bylo americké ministerstvo financí, ministerstvo zahraničí USA, CISA a DOE.
I když přesné podrobnosti nejsou známy, jedna z teorií je, že každý vládní úřad používal Office 365 a Exchange pro e-maily a že sdílené klíče pro Azure Active Directory byly kompromitovány, což útočníkům potenciálně umožnilo vydávat se za skutečné uživatele pro přístup k e-mailovým systémům a knihovnám dokumentů. .
Tuto teorii podporují prohlášení zveřejněná ministerstvem spravedlnosti, že „tato aktivita zahrnovala přístup do e-mailového prostředí Microsoft O365 ministerstva“ a „počet potenciálně přístupných poštovních schránek O365 se zdá být omezený na přibližně 3 procenta a nemáme žádné náznaky, že by nějaké utajované systémy byly ovlivněny.“
Víme, že z mnoha cílových technologických gigantů byli mezi oběťmi síťová velmoc Cisco Systems, výrobce CPU Intel, výrobci GPU Nvidia Corp. a technologickí velcí VMware, Microsoft a Belkin. Nepochybně bylo zasaženo mnohem více společností, ale bude to trvat týdny nebo měsíce, než bude znám úplný obrázek.
Pokud se vaše firma zajímá o kybernetickou bezpečnost, neváhejte se obrátit na Atlantic.Net. Jsme specialisté na Managed Services, Cloud Hosting a soulad s HIPAA. Bezpečnost naší infrastruktury je prvořadá a tvrdě pracujeme na tom, abychom zajistili, že máme ty nejlepší bezpečnostní procesy.
Tento kybernetický útok se zapíše do historie jako jeden z nejhorších a my cítíme obavy o naše přátele v oboru, kterých by se to mohlo týkat. Klienti SolarWinds neudělali nic špatného; zakoupili špičkovou sadu pro správu serverů od renomované firmy a nyní, kvůli neznámé bezpečnostní nekompetentnosti, je každý zákazník vystaven riziku bez vlastního zavinění. Kontaktujte nás ještě dnes.