Acredita-se que o grupo hacker APT29, também conhecido como Cozy Bear, com sede na Rússia, tenha se infiltrado em várias agências americanas, incluindo o Departamento de Estado, o Departamento de Justiça e o Pentágono, assim como a NASA e milhares de empresas em todo o mundo. De acordo com relatos da mídia, foi usado o mesmo vetor de ataque que foi usado recentemente para invadir o Empresa de segurança Fireeye invadido era. Para o canal de notícias CNN desde então, as autoridades confirmaram o ataque.
Servidor de actualização distribui malware
De acordo com um relatório da Fireeye o malware utilizado para o ataque foi distribuído através de Servidor de nuvens do software de monitorização e gestão de TI Orion da Solarwinds. Os hackers integraram o malware em uma atualização do software, que foi então instalado pelas empresas e autoridades comprometidas.
Várias atualizações afetadas
Segundo Fireeye, o ataque começou já na Primavera de 2020, com múltiplas assinaturas e trojanização Actualizações e distribuído através dos servidores do Solarwinds.
Entretanto, o Fireeye tem estado em GitHub Foram lançadas assinaturas para o malware chamado Sunburst, permitindo ao Snort, Yara, IOC e ClamAV limpar sistemas infectados.
Em um StelOpinião O Solarwinds também confirmou a propagação do malware Sunburst através dos seus servidores de actualização. A empresa recomenda que todos os clientes actualizem a sua plataforma Orion com a maior brevidade possível. De acordo com o seu próprio Detalhes A Solarwinds tem mais de 300.000 clientes em todo o mundo. As possíveis vítimas do hack incluem, portanto, não só as autoridades dos EUA, mas também empresas como a Siemens, AT&T, Cisco, Mastercard e Microsoft.
Em frente ao Washington Post John Scott-Railton declarou que os danos do ataque serão muito provavelmente enormes. No passado, o APT29 tem sido um dos grupos mais agressivos de hacking.