Атака на SolarWinds в 2020 году стала унизительным полномасштабным нападением на кибербезопасность правительства США, и, вероятно, одна из ключевых причин, по которой она не получила большей известности, заключается в том, что мы до сих пор очень мало знаем о том, чего добились хакеры. Однако теперь у нас есть несколько дополнительных зацепок, поскольку новые разоблачения от Bloomberg показали, что хакеры имели доступ к почтовым ящикам Министерства финансов, по сути, делая всё, что им заблагорассудится.
Отчет Bloomberg основан на иске в рамках Закона о свободе информации (Freedom of Information Act), который привел к публикации отредактированного отчета о расследовании от генерального инспектора Министерства финансов.
Чтобы освежить память, SolarWinds — это техасская компания по управлению информацией, которая является одновременно малоизвестной частью цепочки поставок программного обеспечения, но при этом вездесущей и незаменимой. В начале 2020 года SolarWinds стала целью элитной, возможно, связанной с Россией структуры, и была скомпрометирована путем сочетания социальной инженерии и хакерских методов — по сути, превратив ключевой компонент их программного обеспечения под названием Orion Platform в распространитель вредоносного ПО, разбрасывая свои шпионские инструменты по системам клиентов SolarWinds. В список клиентов входили конфиденциальные организации самого высокого уровня, такие как Белый дом и АНБ, что открыло хакерам доступ к коммуникационным сетям, обрабатывающим секретную информацию.
Ключевой шокирующей информацией, о которой сообщили вскоре после обнаружения взлома, стала продолжительность утечки: около девяти месяцев — большая часть 2020 года. Теперь мы знаем немного о четырех из этих девяти месяцев.
Bloomberg сообщает, что проникновение в учетную запись SolarWinds Министерства финансов произошло 6 июля 2020 года, когда был скомпрометирован учетная запись администратора самого высокого уровня для программного обеспечения SolarWinds Министерства финансов. Хакеры, по-видимому, использовали эту учетную запись для изменения приложения, комично названного Secure Mail, которое, в свою очередь, «потенциально позволило получить доступ ко всем адресам электронной почты, оканчивающимся на ‘treasury.gov’», согласно отчету генерального инспектора.
Проникновение в систему электронной почты Казначейства, по-видимому, продолжалось до 12 октября 2020 года, когда Казначейство — по-видимому, случайно — прервало вечеринку хакеров каким-то системным изменением. Пользователь скомпрометированной учетной записи администратора заявляет в отчете, что не знает, какие именно электронные письма были целью или было ли что-либо фактически украдено.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Mike Pearl
