NASA, Pentagon ja Co - Hakkerit tunkeutuvat arkaluonteisiin kohteisiin

Venäläislähtöisen hakkeriryhmän APT29:n, joka tunnetaan myös nimellä Cozy Bear, uskotaan tunkeutuneen useisiin yhdysvaltalaisiin virastoihin, kuten ulkoministeriöön, oikeusministeriöön ja Pentagoniin, sekä NASAan ja tuhansiin yrityksiin maailmanlaajuisesti. Mediatietojen mukaan on kerrottu käytetyn samaa hyökkäysvektoria, jota käytettiin hiljattain hyökätessä kohti Tietoturvayhtiö Fireeye hienonnettu oli. Hän kertoi uutiskanavalle CNN viranomaiset ovat sittemmin vahvistaneet hyökkäyksen.

Raportin mukaan Fireeye hyökkäyksessä käytetty haittaohjelma levitettiin seuraavien välityksellä Pilvipalvelin Solarwindsin IT-seuranta- ja hallintaohjelmisto Orion. Hakkerit integroivat haittaohjelman ohjelmiston päivitykseen, jonka vaarantuneet yritykset ja viranomaiset asensivat.

Useat päivitykset vaikuttivat

Fireeyen mukaan hyökkäys alkoi jo keväällä 2020. Maalis- ja toukokuussa 2020 useita allekirjoitettuja ja troijalaisiksi muunnettuja Päivitykset ja jaetaan Solarwinds-palvelimien kautta.

Sillä välin Fireeye on GitHub Sunburst-nimiselle haittaohjelmalle on julkaistu allekirjoitukset, joita Snort, Yara, IOC ja ClamAV voivat käyttää saastuneiden järjestelmien puhdistamiseen.

A StelMielipide Solarwinds on myös vahvistanut Sunburst-haittaohjelman leviämisen päivityspalvelimiensa kautta. Yhtiö suosittelee, että kaikki asiakkaat päivittävät Orion-alustan mahdollisimman pian. Omien sanojensa mukaan Tiedot Solarwindsilla on yli 300 000 asiakasta maailmanlaajuisesti. Hakkeroinnin mahdollisia uhreja ovat siis Yhdysvaltain viranomaisten lisäksi myös sellaiset yritykset kuin Siemens, AT&T, Cisco, Mastercard ja Microsoft.

Vastapäätä Washington Post John Scott-Railton selitti, että hyökkäyksen aiheuttamat vahingot ovat todennäköisesti valtavat. Aiemmin APT29 on ollut yksi aggressiivisimmista hakkeriryhmistä.