Vyšetrovanie SolarWinds: vyše sto zasiahnutých firiem, mohli slúžiť k ďalším útokom

Vyšetrovanie SolarWinds: vyše sto zasiahnutých firiem, mohli slúžiť k ďalším útokom

Vyšetrovanie útoku na dodávateľský reťazec softvéru od SolarWinds aj naďalej prebieha. Spoločnosť Microsoft vo štvrtok informovala, že hekerom sa podarilo získať aj malé časti zdrojových kódov služieb Azure, InTune a Exchange.

Microsoft zároveň potvrdil, že neexistujú žiadne dôkazy o tom, že by ich interné systémy boli zneužité k útokom na iné spoločnosti. Útočníkom sa vraj nepodarilo získať úplný prístup k žiadnym produktom ani osobným údajom.

„Ukončili sme interné vyšetrovanie aktivity aktéra a chceme sa podeliť o naše zistenia, ktoré potvrdzujú, že sme nenašli žiadne dôkazy o prístupe k produkčným službám alebo údajom o zákazníkoch,“ oznámil výrobca Windowsov.

Útočníci mali získať prístup k úložisku zdrojového kódu už v novembri minulého roka. Túto nezvyčajnú aktivitu zaznamenal Microsoft o mesiac neskôr, pričom podnikol kroky k zabezpečeniu systémov. Útočníci sa mali ešte niekoľkokrát pokúšať získať prístup k zdrojovému kódu, ich aktivita ustala až začiatkom januára.

Stovka napadnutých firiem

Biely dom v piatok oznámil, že útok zasiahol viac ako sto súkromných firiem v USA. Veľkú časť zo zoznamu tvoria technologické firmy a – čo je zastrašujúce – tie mohli byť použité k ďalším útokom. Okrem Microsoftu sa škodlivá kampaň dotkla gigantov ako FireEye, Malwarebytes či Palo Alto Networks.

Anne Neuberger, zástupkyňa poradcu pre národnú bezpečnosť, zároveň potvrdila, že zasiahnutých bolo deväť vládnych oddelení a agentúr. The Washington Post priblížil, že útok sa dotkol ministerstva financií, ministerstva obchodu a Národnej správy pre telekomunikácie a informácie.

Podľa americkej administratívy boli útočníkmi veľmi pravdepodobne Rusi. Médiá a experti menujú konkrétne skupinu APT29, známu tiež ako Cozy Bear. O skupine panuje dlhodobý úsudok, že ide o príslušníkov ruskej zahraničnej rozviedky SVR.

Zmienené útoky sú súčasťou celosvetovej kampane, ktorá je namierená voči súkromným spoločnostiam i štátnym inštitúciám využívajúcim služby SolarWinds Orion. Hekerom sa do monitorovacej a správcovskej služby podarilo implementovať zadné vrátka.

Pred útokmi už v decembri varovalo aj slovenské Národné centrum kybernetickej bezpečnosti SK-CERT. Spoločnosti SolarWinds sa už podarilo zraniteľnosti odstrániť, užívatelia by preto mali aktualizovať svoje softvéry na novšiu verziu.


Lukáš Janovič