Venemaal asuv häkkerirühmitus APT29, tuntud ka kui Cozy Bear, on arvatavasti imbunud mitmesse USA asutusse, sealhulgas välisministeeriumi, justiitsministeeriumi ja Pentagoni, samuti NASA-sse ja tuhandetesse ettevõtetesse üle maailma. Meediateadete kohaselt olevat kasutatud sama ründevektorit, mida hiljuti kasutati rünnakuks Turvaettevõte Fireeye hakitud oli. Ta ütles uudistekanalile CNN ametiasutused on vahepeal rünnakut kinnitanud.
"Me võime kinnitada, et ühte meie kontorisse on sisse murtud. Oleme palunud CISA-l ja FBI-l uurida juhtumit ja me ei saa praegu rohkem kommenteerida."
Kaubandusministeerium
Uuendusserver levitab pahavara
Vastavalt aruandele, mille on koostanud Fireeye rünnakuks kasutatud pahavara levitati läbi Pilveserver Solarwindsi IT-seire- ja haldustarkvara Orion. Häkkerid integreerisid pahavara tarkvara uuendusse, mille seejärel paigaldasid ohustatud ettevõtted ja ametiasutused.
Mitmed uuendused mõjutasid
Fireeye andmetel algas rünnak juba 2020. aasta kevadel. 2020. aasta märtsis ja mais hakkasid mitmed allkirjastatud ja troojaliseeritud Uuendused ja levitatakse Solarwindsi serverite kaudu.
Vahepeal on Fireeye GitHub On avaldatud Sunburst-nimelise pahavara allkirjad, mida Snort, Yara, IOC ja ClamAV saavad kasutada nakatunud süsteemide puhastamiseks.
Ühes StelArvamus Solarwinds on samuti kinnitanud Sunbursti pahavara levikut oma värskendusserverite kaudu. Ettevõte soovitab kõigil klientidel Orioni platvormi võimalikult kiiresti uuendada. Vastavalt oma Teave Solarwindsil on üle 300 000 kliendi kogu maailmas. Häkkimise võimalike ohvrite hulka ei kuulu seega mitte ainult USA ametiasutused, vaid ka sellised ettevõtted nagu Siemens, AT&T, Cisco, Mastercard ja Microsoft.
Vastupidi Washington Post John Scott-Railton selgitas, et rünnaku kahju on tõenäoliselt tohutu. Varem on APT29 olnud üks agressiivsemaid häkkerirühmitusi.
"See on suur asi. Võttes arvesse sissetungid, millest me juba teame, eeldan, et rünnakute ulatus laieneb, kui me logisid läbi vaatame."
John Scott-Railton, Citizen Labi teadur
