Objavljeno: 20.12.2020 10:00 | Teme: vdor

Ruski hekerji mesece v ameriških ministrstvih in podjetjih

V programski paket za upravljanje z IT sredstvi SolarWinds Orion, ki je izjemno razširjen po svetu in ga uporabljajo tudi številna največja podjetja z Microsoftom na čelu ter vladne inštitucije, denimo jedrski del ameriškega ministrstva za energijo, so že pred časom vdrli hekerji. Velikanski napad, ki je prizadel na stotine podjetij, so najverjetneje izvedli ruski državni hekerji iz skupine APT29 oziroma Cozy Bear. Moskva obtožbe zanika.

Napad je potekal prek dobavne verige (supply chain attack), kar pomeni, da je bila prva točka vdora sistem SolarWinds za posodabljanje Oriona oziroma vtičnik SUNBURST. Od tam so potem uspeli poriniti zlonamerno kodo na vse usmerjevalnike, stikala in drugo opremo, ki jo upravlja ali krmili Orion. Po napadu, ki se je zgodil že pred meseci (med marcem in junijem), se je trojanski konj za nekaj časa pritajil, da ni zbudil pozornosti. Potem pa so napadalci, čeprav bi teoretično lahko lomastili vseh podjetjih, ki uporabljajo Orion, svoje brskanje omejili na dokaj majhen seznam tarč. Med njimi so bili Microsoft, ministrstvo za energijo, finančno in trgovinsko ministrstvo, služba za domovinsko varnost itd.

Posledice še ocenjujejo, gotovo pa bodo precejšnje, saj šele odkrivajo celoten obseg vdora. Ameriška agencija za kibernetsko varnost CISA je izdala navodilo, naj se izklopi delovanje orodja Orion. Iz našega SI-CERT-a pa sporočajo, da je v Sloveniji razširjenost te programske opreme zelo nizka. Doslej niso zaznali, da bi se uporabljal kompromitirani vtičnik, zato posledic za Slovenije ni videti.

 FireEye

SI-CERT

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji