Агентство по ядерному оружию среди взломанных хакерами, спонсируемыми государством.
Атака на цепочку поставок использовалась для проникновения в федеральные агентства и, по крайней мере, одной частной компании, представляет «серьезный риск» для Соединенных Штатов, отчасти потому, что злоумышленники, вероятно, использовали другие средства, помимо бэкдора SolarWinds, для проникновения в интересующие сети, заявили федеральные чиновники Четверг. Одна из этих сетей принадлежит Национальному управлению ядерной безопасности, которое отвечает за лаборатории в Лос-Аламосе и Сандиа, согласно отчету Politico.
«Этот злоумышленник продемонстрировал способность эксплуатировать цепочки поставок программного обеспечения и продемонстрировал значительное знание сетей Windows». написали официальные лица из Агентства по инфраструктуре кибербезопасности и безопасности. «Вполне вероятно, что у злоумышленника есть дополнительные начальные векторы доступа и тактика, методы и процедуры (ДТС), которые еще не были обнаружены». CISA, как сокращенно агентство, является подразделением Министерства внутренней безопасности.
В другом месте официальные лица писали: «CISA определила, что эта угроза представляет серьезную опасность для федерального правительства и правительств штатов, местных, племенных и территориальных органов власти, а также важнейших объектов инфраструктуры и других организаций частного сектора».
Между тем агентство Reuters сообщило, что злоумышленники взломали отдельного крупного поставщика технологий и использовали этот взлом, чтобы проникнуть в важные конечные цели. Службы новостей процитировали двух человек, проинформированных по этому поводу.
Дальнейшее чтение. Дальнейшее чтение
Мрачная оценка
Оповещение CISA в четверг предоставило необычно мрачную оценку взлома; угроза, которую он представляет для государственных органов на национальном, региональном и местном уровнях; а также умение, настойчивость и время, которые потребуются, чтобы изгнать злоумышленников из сетей, в которые они проникли в течение месяцев незамеченными.
«Этот злоумышленник APT продемонстрировал терпение, операционную безопасность и сложную торговлю в ходе этих вторжений». написали официальные лица в предупреждении в четверг. «CISA ожидает, что удаление этого злоумышленника из скомпрометированных сред будет очень сложным и трудным для организаций».
Чиновники представили еще одну безрадостную оценку: «У CISA есть свидетельства дополнительных исходных векторов доступа, помимо платформы SolarWinds Orion; однако они все еще исследуются. CISA будет обновлять это предупреждение по мере поступления новой информации ».
В сообщении не говорилось, какими могут быть дополнительные векторы, но официальные лица отметили навыки, необходимые для заражения платформы сборки программного обеспечения SolarWinds, распространения бэкдоров среди 18000 клиентов, а затем оставались незамеченными в зараженных сетях в течение нескольких месяцев.
«Этот злоумышленник продемонстрировал способность использовать цепочки поставок программного обеспечения и продемонстрировал значительное знание сетей Windows». писали они. «Вполне вероятно, что у злоумышленника есть дополнительные начальные векторы доступа и тактика, методы и процедуры, которые еще не были обнаружены».
Сообщается, что среди многих федеральных агентств, использовавших SolarWinds Orion, была Налоговая служба. В четверг член рейтингового комитета Сената по финансам Рон Виден (штат Орегон) и председатель финансового комитета Сената Чак Грассли (штат Айова) направили письмо комиссару IRS Чаку Реттигу с просьбой проинформировать его о том, были ли скомпрометированы данные налогоплательщиков.
Представители IRS не сразу ответили на телефонный звонок с просьбой прокомментировать этот пост.
В предупреждении CISA говорится, что основные выводы из проведенного на данный момент расследования:
На данный момент выяснилось, что это необычный взлом, полный масштаб и последствия которого не будут известны в течение недель или даже месяцев. Дополнительная обувь может выпадать рано и часто.