Forklaret: Et massivt cyberangreb i USA ved hjælp af et nyt sæt værktøjer
Et af de største cyberangreb, der er rettet mod amerikanske regeringsagenturer og private virksomheder, 'SolarWinds-hacket' bliver set som en sandsynlig global indsats. Hvordan blev det udført, og hvilken slags data er blevet kompromitteret? Hvorfor har amerikanske embedsmænd og politikere navngivet Rusland?
Målet for cyberangrebet var Orion, en software leveret af firmaet SolarWinds. (Reuters foto) 'SolarWinds-hacket', et cyberangreb, der for nylig blev opdaget i USA, er dukket op som et af den største nogensinde rettet mod den amerikanske regering, dens agenturer og flere andre private virksomheder. Faktisk er det sandsynligvis et globalt cyberangreb.
Det blev først opdaget af det amerikanske cybersikkerhedsfirma FireEye, og siden da er der stadig flere udviklinger at komme frem hver dag. Omfanget af cyberangrebet er stadig ukendt, selvom det amerikanske finansministerium, Department of Homeland Security, Department of Commerce, dele af Pentagon alle formodes at være blevet påvirket.
jacklyn zeman nettoværdi
I en meningsindlæg skrevet til New York Times , Thomas P Bossert, der var hjemmelandssikkerhedsrådgiver for præsident Donald Trump, har udpeget Rusland til angrebet. Han skrev beviser i SolarWinds-angrebet peger på den russiske efterretningstjeneste kendt som SVR, hvis håndværk er blandt de mest avancerede i verden. Kreml har nægtet sin involvering.
Så hvad er dette 'SolarWinds-hack'?
Nyheden om cyberangrebet brød først teknisk set den 8. december, da FireEye udgav en blog, der opdagede et angreb på dets systemer. Firmaet hjælper med sikkerhedsstyring af flere store private virksomheder og føderale regeringsorganer.
FireEye CEO Kevin Mandia skrev i et blogindlæg, at virksomheden blev angrebet af en meget sofistikeret trusselsaktør og kaldte det et statssponsoreret angreb, selvom det ikke navngav Rusland. Det sagde, at angrebet blev udført af en nation med offensive kapaciteter på højeste niveau, og angriberen søgte primært information relateret til visse offentlige kunder. Den sagde også, at de metoder, angriberne brugte, var nye.
Den 13. december sagde FireEye, at cyberangreb, som det kaldte Campaign UNC2452, ikke var begrænset til virksomheden, men havde rettet mod forskellige offentlige og private organisationer rundt om i verden. Kampagnen begyndte sandsynligvis i marts 2020 og har været i gang i flere måneder, står der i posten. Hvad værre er, omfanget af stjålne eller kompromitterede data er stadig ukendt, da omfanget af angrebet stadig er ved at blive opdaget. Efter at systemerne var blevet kompromitteret, fandt sideværts bevægelse og datatyveri sted.
DELTAG NU :Express Explained Telegram ChannelHvordan blev så mange amerikanske regeringsagenturer og virksomheder angrebet?
Dette bliver kaldt et 'Supply Chain'-angreb: I stedet for direkte at angribe den føderale regering eller en privat organisations netværk, retter hackerne sig mod en tredjepartsleverandør, som leverer software til dem. I dette tilfælde var målet en it-administrationssoftware kaldet Orion, leveret af det Texas-baserede firma SolarWinds.
Orion har været en dominerende software fra SolarWinds med kunder, som omfatter over 33.000 virksomheder. SolarWinds siger, at 18.000 af dets kunder er blevet påvirket. Virksomheden har i øvrigt slettet listen over kunder fra sine officielle hjemmesider.
Ifølge siden, som også er blevet renset fra Googles webarkiv, inkluderer listen 425 virksomheder i Fortune 500, de 10 bedste teleoperatører i USA. En rapport fra New York Times sagde, at dele af Pentagon, Centers for Disease Control and Prevention, Udenrigsministeriet, Justitsministeriet og andre var alle berørt.
Microsoft bekræftede, at det har fundet beviser for malware på deres systemer, selvom det tilføjede, at der ikke var beviser for adgang til produktionstjenester eller kundedata, eller at dets systemer blev brugt til at angribe andre. Microsoft-præsident Brad Smith sagde, at virksomheden er begyndt at underrette mere end 40 kunder om, at angriberne målrettede mere præcist og kompromitterede.
En Reuters-rapport sagde, at selv e-mails sendt af Department of Homeland Security-embedsmænd blev overvåget af hackerne.
Hvordan fik de adgang?
Ifølge FireEye fik hackerne adgang til ofrene via trojanske opdateringer til SolarWinds' Orion IT-overvågnings- og administrationssoftware. Grundlæggende blev en softwareopdatering udnyttet til at installere 'Sunburst'-malwaren i Orion, som derefter blev installeret af mere end 17.000 kunder.
FireEye siger, at angriberne stolede på flere teknikker for at undgå at blive opdaget og sløre deres aktivitet. Malwaren var i stand til at få adgang til systemfilerne. Det, der virkede til fordel for malwaren, var, at den var i stand til at blande sig med legitim SolarWinds-aktivitet, ifølge FireEye.
Når malwaren var installeret, gav hackerne en bagdør adgang til SolarWinds' kunders systemer og netværk. Endnu vigtigere var, at malwaren også var i stand til at modarbejde værktøjer såsom anti-virus, der kunne opdage det.
Hvor kommer Rusland ind?
I sin NYT-meningsartikel navngav Bossert Rusland og dets agentur SVR, som har kapaciteten til at udføre angrebet af en sådan opfindsomhed og omfang.
Microsoft bemærker i sin blog, at dette aspekt af angrebet skabte en forsyningskædesårbarhed af næsten global betydning, som nåede mange store nationale hovedstæder uden for Rusland. Det fortsætter med at tilføje, at sofistikerede angreb fra Rusland er blevet almindelige.
FireEye har dog endnu ikke udpeget Rusland som værende ansvarlig og sagde, at det er en igangværende efterforskning med FBI, Microsoft og andre nøglepartnere, som ikke er navngivet.
hvor meget er andre held held værd
|Hvordan kvinder er beskyttet af protein, der lukker coronavirus ind
Hvad har SolarWinds og den amerikanske regering sagt om hacket?
Lige nu anbefaler SolarWinds, at alle kunder straks opdaterer den eksisterende Orion-platform, som har en patch til denne malware. Hvis angriberaktivitet opdages i et miljø, anbefaler vi at udføre en omfattende undersøgelse og designe og udføre en afhjælpningsstrategi drevet af efterforskningsresultaterne og detaljerne i det påvirkede miljø, hedder det.
De, der ikke kan opdatere, får besked på at isolere SolarWinds-servere, og det bør omfatte blokering af al internetudgang fra SolarWinds-servere. Det absolutte minimumsforslag er ændring af adgangskoder til konti, der har adgang til SolarWinds servere/infrastruktur.
US Cybersecurity and Infrastructure Security Agency (CISA) har udstedt et nøddirektiv 21-01, der beder alle føderale civile agenturer om at gennemgå deres netværk for indikatorer på kompromis. Den har bedt dem om at afbryde eller slukke for SolarWinds Orion-produkter med det samme.
FBI, CISA og kontoret for direktøren for National Intelligence udsendte en fælles erklæring og annoncerede det, der kaldes 'Cyber Unified Coordination Group (UCG) for at koordinere regeringens reaktion på krisen. Erklæringen kalder dette en betydelig og igangværende cybersikkerhedskampagne.
Det Hvide Hus og præsident Donald Trump har været tavse. Senator Mitt Romney har opsummeret det bedst i sine kommentarer til journalisten Olivier Knox fra SiriusXM radio, hvor han sammenlignede dette angreb med hvad der svarer til russiske bombefly, der flyver uopdaget over hele landet, og afslører USA's cyberkrigsførelses svaghed. Han sagde, at tavsheden og passiviteten fra Det Hvide Hus var utilgivelig.
Senator Richard Blumenthal, en demokrat, tweetede: Ruslands cyberangreb gjorde mig dybt foruroliget, faktisk ligefrem bange.
Den nyvalgte præsident Joe Biden sagde i en erklæring: Et godt forsvar er ikke nok; Vi er nødt til at forstyrre og afskrække vores modstandere fra at foretage betydelige cyberangreb i første omgang.
Del Med Dine Venner:
