Bætur Fyrir Stjörnumerkið
Skipting C Orðstír

Finndu Út Eindrægni Með Stjörnumerki

Útskýrt: Stórfelld netárás í Bandaríkjunum þar sem nýtt verkfæri voru notuð

Ein stærsta netárás sem beinst hefur að bandarískum ríkisstofnunum og einkafyrirtækjum, „SolarWinds hakkið“ er talið líklegt alþjóðlegt átak. Hvernig var það framkvæmt og hvers konar gögnum hefur verið stefnt í hættu? Hvers vegna hafa embættismenn og stjórnmálamenn í Bandaríkjunum nefnt Rússland?

SolarWinds, SolarWinds hakk, netárás okkar, Fireeye, netárás Rússlands á okkur, indversk tjáning útskýrtMarkmið netárásarinnar var Orion, hugbúnaður frá fyrirtækinu SolarWinds. (Reuters mynd)

„SolarWinds hakkið“, netárás sem nýlega uppgötvaðist í Bandaríkjunum, hefur komið fram sem eitt af sá stærsti frá upphafi beint gegn bandarískum stjórnvöldum, stofnunum þeirra og nokkrum öðrum einkafyrirtækjum. Reyndar er það líklega alþjóðleg netárás.





Það var fyrst uppgötvað af bandaríska netöryggisfyrirtækinu FireEye og síðan þá heldur áfram að koma í ljós fleiri þróun á hverjum degi. Umfang netárásarinnar er enn óþekkt, þó að talið sé að fjármálaráðuneyti Bandaríkjanna, heimavarnarráðuneytið, viðskiptaráðuneytið, hluta Pentagon hafi allir orðið fyrir áhrifum.

Í an skoðunargrein skrifað fyrir New York Times , Thomas P Bossert, sem var heimavarnaráðgjafi Donalds Trump forseta, hefur nefnt Rússland fyrir árásina. Hann skrifaði sönnunargögn í SolarWinds árásinni benda á rússnesku leyniþjónustuna sem kallast SVR, en iðn hans er með þeim fullkomnustu í heiminum. Kreml hefur neitað aðild sinni.



Svo, hvað er þetta „SolarWinds hakk“?

Fréttir af netárásinni bárust tæknilega fyrst þann 8. desember þegar FireEye setti út blogg sem greindi árás á kerfi þess. Fyrirtækið aðstoðar við öryggisstjórnun nokkurra stórra einkafyrirtækja og alríkisstofnana.

Forstjóri FireEye, Kevin Mandia, skrifaði í bloggfærslu þar sem hann sagði að mjög háþróaður ógnarleikari hefði ráðist á fyrirtækið og kallaði það ríkisstyrkta árás, þó að það hafi ekki nefnt Rússland. Þar segir að árásin hafi verið framin af þjóð með sóknargetu í fremstu röð og árásarmaðurinn leitaði fyrst og fremst upplýsinga sem tengdust tilteknum viðskiptavinum hins opinbera. Það sagði einnig að aðferðirnar sem árásarmennirnir notuðu væru nýjar.



Þann 13. desember sagði FireEye að netárás, sem hún nefndi Campaign UNC2452, væri ekki takmörkuð við fyrirtækið heldur hefði beinst að ýmsum opinberum og einkaaðilum um allan heim. Herferðin hófst líklega í mars 2020 og hefur staðið yfir í marga mánuði, sagði í færslunni. Það sem verra er, umfang gagna sem stolið er eða í hættu er enn óþekkt, þar sem enn er verið að uppgötva umfang árásarinnar. Eftir að kerfi voru í hættu áttu sér stað hliðarhreyfingar og gagnaþjófnaður.

TAKTU ÞÁTT NÚNA :The Express Explained Telegram Channel

Hvernig var ráðist á svona margar bandarískar ríkisstofnanir og fyrirtæki?



Þetta er kallað „Supply Chain“ árás: Í stað þess að ráðast beint á alríkisstjórnina eða net einkasamtaka, miða tölvuþrjótarnir á þriðja aðila söluaðila, sem útvegar þeim hugbúnað. Í þessu tilviki var markmiðið upplýsingatæknistjórnunarhugbúnaður sem heitir Orion, útvegaður af Texas-fyrirtækinu SolarWinds.

Orion hefur verið ráðandi hugbúnaður frá SolarWinds með viðskiptavinum, sem innihalda yfir 33.000 fyrirtæki. SolarWinds segir að 18.000 viðskiptavina sinna hafi orðið fyrir áhrifum. Fyrir tilviljun hefur fyrirtækið eytt lista yfir viðskiptavini af opinberum vefsíðum sínum.



Samkvæmt síðunni, sem einnig hefur verið nuddað úr vefskjalasafni Google, inniheldur listinn 425 fyrirtæki í Fortune 500, 10 efstu símafyrirtækin í Bandaríkjunum. Í frétt New York Times segir að hlutar Pentagon, Centers for Disease Control and Prevention, utanríkisráðuneytið, dómsmálaráðuneytið og aðrir hafi allir haft áhrif.

Microsoft staðfesti að það hafi fundið vísbendingar um spilliforritið í kerfum þeirra, þó að það bætti við að engar vísbendingar væru um aðgang að framleiðsluþjónustu eða gögnum viðskiptavina, eða að kerfi þess hafi verið notuð til að ráðast á aðra. Forseti Microsoft, Brad Smith, sagði að fyrirtækið væri byrjað að tilkynna meira en 40 viðskiptavinum um að árásarmennirnir beittu sér nákvæmari og hættu.



Í frétt Reuters kemur fram að jafnvel tölvupóstur sem embættismenn heimavarnarráðuneytisins sendu hafi verið undir eftirliti tölvuþrjótanna.

Hvernig fengu þeir aðgang?



Samkvæmt FireEye, fengu tölvuþrjótarnir aðgang að fórnarlömbum með trójuuppfærslum á Orion upplýsingatæknivöktunar- og stjórnunarhugbúnaði SolarWinds. Í grundvallaratriðum var hugbúnaðaruppfærsla nýtt til að setja upp „Sunburst“ spilliforritið í Orion, sem síðan var sett upp af meira en 17.000 viðskiptavinum.

FireEye segir að árásarmennirnir hafi reitt sig á margar aðferðir til að forðast að verða vart og hylja virkni þeirra. Spilliforritið gat fengið aðgang að kerfisskránum. Það sem virkaði í þágu spilliforritsins var að það var hægt að blanda saman við lögmæta virkni SolarWinds, samkvæmt FireEye.

Þegar spilliforritið hafði verið sett upp gaf hann tölvuþrjótunum aðgang að kerfum og netkerfum viðskiptavina SolarWinds. Meira um vert, spilliforritið gat einnig komið í veg fyrir verkfæri eins og vírusvarnarefni sem gætu greint það.

Hvar kemur Rússland inn?

Í álitsgrein sinni á NYT nefndi Bossert Rússland og stofnun þess SVR, sem hefur getu til að framkvæma árás af slíku hugviti og umfangi.

Microsoft bendir á í bloggi sínu að þessi þáttur árásarinnar hafi skapað veikleika í aðfangakeðjunni sem var næstum alþjóðlegt mikilvæg og náði til margra helstu höfuðborga utan Rússlands. Síðan er bætt við að háþróaðar árásir frá Rússlandi séu orðnar algengar.

FireEye hefur hins vegar ekki enn nefnt Rússa sem ábyrga og sagði að það sé í gangi rannsókn hjá FBI, Microsoft og öðrum lykilaðilum sem ekki eru nefndir.

Ekki missa af Explained|Hvernig konur eru verndaðar af próteini sem hleypir kransæðaveiru inn

Hvað hefur SolarWinds og bandarísk stjórnvöld sagt um hakkið?

Eins og er, mælir SolarWinds með því að allir viðskiptavinir uppfæri strax núverandi Orion vettvang, sem er með plástur fyrir þennan spilliforrit. Ef virkni árásarmanna uppgötvast í umhverfi, mælum við með að fram fari alhliða rannsókn og að hanna og framkvæma úrbótastefnu sem knúin er áfram af rannsóknarniðurstöðum og upplýsingum um umhverfið sem hefur áhrif, segir það.

Þeim sem ekki geta uppfært er sagt að einangra SolarWinds netþjóna og það ætti að fela í sér að hindra alla netútgang frá SolarWinds netþjónum. Lágmarksuppástungan er að breyta lykilorðum fyrir reikninga sem hafa aðgang að SolarWinds netþjónum / innviðum.

Bandaríska netöryggis- og innviðaöryggisstofnunin (CISA) hefur gefið út neyðartilskipun 21-01, þar sem allar borgaralegar alríkisstofnanir eru beðnar um að endurskoða netkerfi sín fyrir vísbendingar um málamiðlun. Það hefur beðið þá um að aftengja eða slökkva á SolarWinds Orion vörum strax.

FBI, CISA og skrifstofa leyniþjónustustjóra gáfu út sameiginlega yfirlýsingu og tilkynntu það sem kallað er „Cyber ​​Unified Coordination Group (UCG) til að samræma viðbrögð stjórnvalda við kreppunni. Yfirlýsingin kallar þetta merkilegt og áframhaldandi netöryggisherferð.

Hvíta húsið og Donald Trump forseti hafa verið þögul. Öldungadeildarþingmaðurinn Mitt Romney hefur dregið það best saman í ummælum sínum við blaðamanninn Olivier Knox hjá SiriusXM útvarpinu, þar sem hann líkti þessari árás við jafngildi rússneskra sprengjuflugvéla sem fljúga óséðar um allt land og afhjúpa veikleika nethernaðar Bandaríkjanna. Hann sagði að þögnin og aðgerðaleysið frá Hvíta húsinu væri óafsakanlegt.

Öldungadeildarþingmaðurinn Richard Blumenthal, demókrati, tísti: Netárás Rússlands olli mér mjög áhyggjum, í raun beinlínis hræddur.

Joe Biden, kjörinn forseti, sagði í yfirlýsingu: Góð vörn er ekki nóg; Við þurfum að trufla og fæla andstæðinga okkar frá því að gera verulegar netárásir í fyrsta lagi.

Deildu Með Vinum Þínum: