Uważa się, że rosyjska grupa hakerska APT29, znana również jako Cozy Bear, przeniknęła do wielu amerykańskich agencji, w tym do Departamentu Stanu, Departamentu Sprawiedliwości i Pentagonu, a także do NASA i tysięcy firm na całym świecie. Według doniesień medialnych, użyto tego samego wektora ataku, który został ostatnio użyty do włamania się do Firma ochroniarska Fireeye zhakowany był. Do kanału informacyjnego CNN władze od tego czasu potwierdziły atak.
Serwer aktualizacyjny rozprowadza złośliwe oprogramowanie
Zgodnie z raportem z Fireeye złośliwe oprogramowanie użyte do ataku było rozprowadzane poprzez Serwer chmury obliczeniowej oprogramowania informatycznego Orion firmy Solarwinds do monitorowania i zarządzania. Hakerzy włączyli złośliwe oprogramowanie do aktualizacji oprogramowania, które następnie zostało zainstalowane przez zagrożone firmy i władze.
Kilka aktualizacji, których to dotyczy
Według Fireeye'a, atak rozpoczął się już wiosną 2020 roku, z wieloma podpisanymi i zatrojonymi Aktualizacje i dystrybuowane przez serwery Solarwinds.
W międzyczasie, Fireeye był na GitHub Podpisy pod złośliwym oprogramowaniem o nazwie Sunburst zostały uwolnione, dzięki czemu Snort, Yara, IOC i ClamAV oczyszczają zainfekowane systemy.
W StelOpinia Solarwinds potwierdziło również rozprzestrzenianie się złośliwego oprogramowania Sunburst poprzez swoje serwery aktualizacji. Firma zaleca, aby wszyscy klienci jak najszybciej zaktualizowali swoją platformę Orion. Zgodnie z własnym Szczegóły Solarwinds ma ponad 300.000 klientów na całym świecie. Możliwe ofiary hakowania obejmują zatem nie tylko władze USA, ale także takie korporacje jak Siemens, AT&T, Cisco, Mastercard oraz Microsoft.
Naprzeciwko Washington Post John Scott-Railton stwierdził, że obrażenia spowodowane atakiem będą najprawdopodobniej ogromne. W przeszłości, APT29 był jedną z najbardziej agresywnych grup hakerskich.