Predpokladá sa, že hackerská skupina APT29 so sídlom v Rusku, známa aj ako Cozy Bear, prenikla do viacerých amerických agentúr vrátane ministerstva zahraničných vecí, ministerstva spravodlivosti a Pentagónu, ako aj do NASA a tisícov spoločností po celom svete. Podľa mediálnych správ bol údajne použitý rovnaký vektor útoku, ktorý bol nedávno použitý pri útoku na Bezpečnostná spoločnosť Fireeye nakrájané bol. Pre spravodajský kanál povedal CNN útok medzitým potvrdili aj úrady.
Aktualizačný server distribuuje škodlivý softvér
Podľa správy Fireeye malvér použitý na útok bol distribuovaný prostredníctvom Cloudový server softvéru na monitorovanie a správu IT Orion od spoločnosti Solarwinds. Hackeri integrovali škodlivý softvér do aktualizácie softvéru, ktorý potom nainštalovali napadnuté spoločnosti a úrady.
Niekoľko ovplyvnených aktualizácií
Podľa spoločnosti Fireeye sa útok začal už na jar 2020. V marci a máji 2020 sa objavilo niekoľko podpísaných a trójskych Aktualizácie a distribuované prostredníctvom serverov Solarwinds.
Spoločnosť Fireeye medzitým GitHub Boli zverejnené podpisy škodlivého softvéru s názvom Sunburst, ktoré môžu nástroje Snort, Yara, IOC a ClamAV použiť na vyčistenie infikovaných systémov.
V StelStanovisko Spoločnosť Solarwinds tiež potvrdila šírenie malvéru Sunburst prostredníctvom svojich aktualizačných serverov. Spoločnosť odporúča všetkým zákazníkom, aby čo najskôr aktualizovali platformu Orion. Podľa vlastného vyjadrenia Informácie Spoločnosť Solarwinds má viac ako 300 000 zákazníkov na celom svete. Medzi možné obete hackerského útoku preto patria nielen americké úrady, ale aj spoločnosti ako Siemens, AT&T, Cisco, Mastercard a Microsoft.
Oproti Washington Post John Scott-Railton vysvetlil, že škody spôsobené útokom budú pravdepodobne obrovské. V minulosti bola APT29 jednou z najagresívnejších hackerských skupín.