Az orosz székhelyű APT29 hackercsoport, más néven Cozy Bear, a feltételezések szerint számos amerikai ügynökségbe, köztük a Külügyminisztériumba, az Igazságügyi Minisztériumba és a Pentagonba, valamint a NASA-ba és több ezer vállalatba szivárgott be világszerte. Médiajelentések szerint állítólag ugyanazt a támadási vektort használták, amelyet nemrég a Biztonsági cég Fireeye apróra vágott volt. Azt mondta a hírcsatornának CNN a hatóságok azóta megerősítették a támadást.
A frissítő szerver rosszindulatú szoftvereket terjeszt
A jelentés szerint a Fireeye a támadáshoz használt rosszindulatú szoftvereket a következő csatornákon keresztül terjesztették Felhő kiszolgáló a Solarwinds Orion nevű IT felügyeleti és menedzsment szoftverét. A hackerek a kártevőt a szoftver frissítésébe integrálták, amelyet aztán a megtámadott vállalatok és hatóságok telepítettek.
Számos frissítés érintett
A Fireeye szerint a támadás már 2020 tavaszán elkezdődött. 2020 márciusában és májusában több aláírt és trójai vírussal fertőzött Frissítések és a Solarwinds szerverein keresztül terjesztik.
Időközben a Fireeye GitHub A Sunburst nevű rosszindulatú szoftver aláírásait már kiadták, amelyeket a Snort, a Yara, az IOC és a ClamAV használhat a fertőzött rendszerek megtisztítására.
Egy StelVélemény A Solarwinds is megerősítette a Sunburst malware terjedését a frissítési szerverein keresztül. A vállalat azt ajánlja, hogy minden ügyfél a lehető leghamarabb frissítse az Orion platformot. Saját bevallása szerint Információ A Solarwindsnek világszerte több mint 300 000 ügyfele van. A hackelés lehetséges áldozatai között tehát nemcsak az amerikai hatóságok, hanem olyan vállalatok is szerepelhetnek, mint a Siemens, az AT&T, a Cisco, a Mastercard és a Microsoft.
Szemben a Washington Post John Scott-Railton kifejtette, hogy a támadásból származó kár valószínűleg óriási lesz. A múltban az APT29 volt az egyik legagresszívabb hackercsoport.