NASA, Pentagon og Co - Hackere infiltrerer følsomme mål

Den russisk-baserede hackergruppe APT29, også kendt som Cozy Bear, menes at have infiltreret en række amerikanske agenturer, herunder udenrigsministeriet, justitsministeriet og Pentagon, samt NASA og tusindvis af virksomheder verden over. Ifølge medierne skulle der være anvendt den samme angrebsvektor, som for nylig blev brugt til at angribe den Sikkerhedsfirmaet Fireeye hakket var. Han fortalte nyhedskanalen CNN myndighederne har siden bekræftet angrebet.

Ifølge en rapport fra Fireeye den malware, der blev brugt til angrebet, blev distribueret via Cloud-server af it-overvågnings- og styringsprogrammet Orion fra Solarwinds. Hackerne integrerede malware i en opdatering af softwaren, som derefter blev installeret af de kompromitterede virksomheder og myndigheder.

Flere opdateringer blev påvirket

Ifølge Fireeye begyndte angrebet allerede i foråret 2020. I marts og maj 2020 blev flere signerede og trojaniserede Opdateringer og distribueres via Solarwinds-serverne.

I mellemtiden har Fireeye GitHub Signaturer for malware kaldet Sunburst er blevet frigivet, som Snort, Yara, IOC og ClamAV kan bruge til at rydde op i inficerede systemer.

I en StelUdtalelse Solarwinds har også bekræftet spredningen af Sunburst-malware via sine opdateringsservere. Virksomheden anbefaler, at alle kunder opdaterer Orion-platformen så hurtigt som muligt. Ifølge sin egen Oplysninger Solarwinds har mere end 300.000 kunder på verdensplan. De mulige ofre for hacket omfatter derfor ikke kun de amerikanske myndigheder, men også virksomheder som Siemens, AT&T, Cisco, Mastercard og Microsoft.

Overfor den Washington Post John Scott-Railton forklarede, at skaderne fra angrebet sandsynligvis vil være enorme. APT29 har tidligere været en af de mest aggressive hackergrupper.