Хакери проникли в програмне забезпечення від SolarWinds, щоб атакувати уряди в Європі й США / фото REUTERS
Компанія зі Швейцарії, яка спеціалізується на кібербезпеці, заявила, що отримала доступ до серверів, які були використані групою хакерів для проникнення в програмне забезпечення компанії SolarWinds. Це дозволило з’ясувати деталі про те, як були проведені операції й проти кого.
Як пише Bloomberg, компанія PRODAFT запевняє, що хакери продовжували свою шкідливу роботу навіть цього місяця. Загалом, швейцарські експерти кажуть, що змогли проникнути в комп’ютерну інфраструктуру зловмисників і отримати докази про масивну кампанію, яка розгорталася з серпня до березня. Тоді постраждали тисячі компаній й урядових організацій по всій Європі й в США.
У своєму звіті PRODAFT зазначили, що метою хакерської групи, яку експерти називають SilverFish, було шпигувати за своїми жертвами й красти дані. SilverFish провела «надзвичайно складну» кібератаку проти щонайменше 4720 цілей включно з державними органами, глобальними постачальниками IT-послуг, десятками банківських установ у США і ЄС. Також жертвами хакерів стали великі консалтингові фірми, один з найбільших у світі виробників тестів для виявлення COVID-19, а також авіаційні й оборонні компанії.
Швейцарські дослідники кажуть, що хакери використовували не лише уразливі місця програмного забезпечення від SolarWinds, щоб атакувати своїх жертв. SilverFish наразі не пов’язують з жодною відомою хакерською організацією чи країною. Однак, експерти називають її «APT-групою». APT — це абревіатура, яка означає «передова стійка загроза» (advanced persistent threat). Зазвичай групи, які називають цим терміном, пов’язують з державними організаціями.
У PRODAFT кажуть, що хакери SilverFish мають деякі ознаки організації, яку фінансує держава. Зокрема, про це говорить те, що вони атакували критично важливу інфраструктуру й не були мотивовані грошима. Однак, потрібно провести додатковий аналіз, щоб підтвердити зв’язки з урядовими структурами.
Тому наразі звіт PRODAFT не дає чіткої відповіді на питання, чи SilverFish якось пов’язана з урядом Росії. А влада США й інші компанії з кібербезпеки вказують пальцем саме на Москву як найбільш вірогідного винуватця атак проти SolarWinds. Про цю кібератаку стало відомо в грудні. Хакери додали злоякісний код до оновлень популярного програмного забезпечення від техаської компанії SolarWinds Corp.
Таким чином, 18 тисяч клієнтів SolarWinds отримали це шкідливе оновлення. З них лише невелика кількість стали цілями для подальшого хакерського проникнення. У Білому домі повідомляли про приблизно 100 приватних компаній і 9 державних відомств постраждали від кібератаки.
Чиновники Швейцарії з питань кібербезпеки кажуть, що підтримують контакт з PRODAFT. Однак, поки відмовляються коментувати нову інформацію «з міркувань безпеки». ФБР теж не прокоментував швейцарський звіт. Дослідники у сфері кібербезпеки в США поставилися дещо скептично до звіту PRODAFT. Вони переконані, що кібератаки були шпигунською операцією РФ. Хоча висновки швейцарців відкрито вони теж не критикують.
У всякому разі, звіт швейцарської компанії проливає світло на діяльність хакерської групи. Учасники SilverFish працювали строго за графіком з понеділка до п’ятниці. Вони виходили на роботу о 8:00 ранку і припиняли діяльність о 20:00 вечора.
«Хакери керували серверами в Росії й Україні. А також використовували деякі спільні сервери з горезвісною російською злочинною групою Evil Corp», — йдеться в звіті швейцарської компанії.
У PRODAFT зауважують, що хакери були «надзвичайно добре організованою групою кібер-шпіонажу». Вони ділилися на чотири групи, які називалися 301, 302, 303 і 304. Хакери зосередилися на атаках державних структур і великих корпорацій зі списку Fortune 500.
«Група SilverFish не проводила атаки проти жертв, які походили з Росії, України, Грузії й Узбекистану, йдеться в звіті. США стали регіоном, який найчастіше був ціллю для хакерів», — йдеться в статті.
Всього хакери провели 2465 атак в США. На другому місті опинилися Європа. Тут жертвами SilverFish стали 1466 організацій з Італії, Нідерландів, Данії, Австрії, Франції й Великої Британії. Хакери писали коментарі «російським сленгом і простою мовою». Англійська була дугою мовою, яку вони теж часто використовували. Код містить також ID-номери і псевдоніми, серед яких “new hacker,” “cyberbro netsupport” і “walter». Їх використовували 14 людей, які працювали під керівництвом чотирьох груп.
«Напевне, найбільш вражає в цьому звіті — це надзвичайно добре організований професіоналізм загрози», — сказав віце-президент з питань досліджень безпеки в компанії Trend Micro Inc Рік Фергюсон.
За його словами, очевидно, що хакери були висококваліфіковані, добре профінансовані й діють з чітко визначеними цілями місії.
Масштабна кібератака на США
13 грудня 2020 року видання Reuters повідомило, що хакери зламали систему Міністерства фінансів США та Національного управління з телекомунікацій та інформації та викрали дані.
Злом відбувся через сервер оновлень системи управління продуктами SolarWinds Orion Platform (її версії 2019.4 — 2020.2.1 HF1). Постраждали майже всі Державні установи США. Суб’єктам господарювання, які використовують цей продукт, рекомендують перевірити свої мережі на наявність показників компрометації. Інформацію про те, як виявити загрозу в продуктах SolarWinds Orion можна завантажити за посиланням.
Атаку пов’язують з діяльністю хакерської групи APT29 або Cozy Bear, яку частково звинувачують у зв’язках зі Службою зовнішньої розвідки РФ.
Читайте новини світу і переклади зарубіжної преси на каналі
УНІАН ІноЗМІ
Переклад:
Лесь Димань