Manoma, kad Rusijoje įsikūrusi programišių grupė APT29, dar žinoma kaip "Cozy Bear", įsiskverbė į daugelį JAV agentūrų, įskaitant Valstybės departamentą, Teisingumo departamentą ir Pentagoną, taip pat NASA ir tūkstančius įmonių visame pasaulyje. Žiniasklaidos pranešimuose teigiama, kad buvo naudojamas tas pats atakos vektorius, kuris neseniai buvo panaudotas atakuojant Saugumo bendrovė "Fireeye susmulkinti buvo. Jis sakė naujienų kanalui CNN valdžios institucijos patvirtino, kad išpuolis buvo įvykdytas.
Atnaujinimo serveris platina kenkėjišką programinę įrangą
Pagal ataskaitą, kurią parengė "Fireeye" atakai naudota kenkėjiška programinė įranga buvo platinama per Debesų serveris "Solarwinds" IT stebėsenos ir valdymo programinės įrangos "Orion". Įsilaužėliai integravo kenkėjišką programinę įrangą į programinės įrangos atnaujinimą, kurį vėliau įdiegė užkrėstos įmonės ir institucijos.
Keli atnaujinimai paveikė
Pasak "Fireeye", ataka prasidėjo dar 2020 m. pavasarį. 2020 m. kovo-gegužės mėn. kelios pasirašytos ir Trojos arkliu užkrėstos Atnaujinimai ir platinami per "Solarwinds" serverius.
Tuo tarpu "Fireeye" turi "GitHub" Paskelbti kenkėjiškos programos "Sunburst" parašai, kuriuos "Snort", "Yara", "IOC" ir "ClamAV" gali naudoti užkrėstoms sistemoms išvalyti.
Į StelNuomonė "Solarwinds" taip pat patvirtino, kad kenkėjiška programa "Sunburst" plinta per jos atnaujinimų serverius. Bendrovė rekomenduoja visiems klientams kuo greičiau atnaujinti "Orion" platformą. Pagal jos pačios Informacija "Solarwinds" turi daugiau nei 300 000 klientų visame pasaulyje. Todėl galimai nukentėjo ne tik JAV valdžios institucijos, bet ir tokios korporacijos kaip "Siemens", "AT&T", "Cisco", "Mastercard" ir "Microsoft".
Priešais "Washington Post Johnas Scottas-Railtonas paaiškino, kad išpuolio žala greičiausiai bus milžiniška. Anksčiau APT29 buvo viena agresyviausių įsilaužėlių grupių.