Stora amerikanska företag och myndigheter drabbade av intrång

av | dec 18, 2020 | Säkerhet

Tid för att läsa: 3 minuter

Ett av USAs allvarligaste attacker från vad som tros vara ryska hackare startade med ett intrång hos säkerhetsföretaget Fireye. en vecka senare meddelade Solarwinds, ett säkerhetsföretag från Austin Texas, att även de drabbats av ett intrång som kan kopplas till en uppdatering av företagets mjukvara Orion. Det två incidenterna blev inledningen på rapporter om intrång hos en rad stora amerikanska företag och myndigheter.

Solarwinds är en stor amerikansk leverantör av säkerhetsmjukvara. Bland kunderna finns Vita Huset, NASA och en rad stora amerikanska företaget, däribland Microsoft. Intrånget tros ha möjliggjorts genom att den uppdatering som Solarwinds skickat ut till sina kunder innehöll skadlig kod, en bakdörr eller liknande.

Sofistikerad attack

Attacken är mycket sofistikerad. Av det som framkommit hittills så ser det ut som att hackarna, vilka tros vara den statsstödda gruppen APT29 också kända som Cozy Bear, först tagit sig in i Solwarwinds datorsystem och där noggrant analyserat innehållet i mjukvaran Orion. En av filerna som ingår i Orion, en DLL-fil (SolarWinds.Orion.Core.BusinessLayer.dll), har sedan komprometterats med kod. När sedan Solwarwinds har skickat ut sin uppdatering till en lång rad kunder så har den skadliga koden förts in innanför kundernas olika säkerhetssystem.

The scale of the Russian espionage operation appears to be large, said several individuals familiar with the matter. “This is looking very, very bad,” said one person. SolarWinds products are used by organizations across the world. They include all five branches of the U.S. military, the Pentagon, State Department, Justice Department, NASA, the Executive Office of the President and the National Security Agency, the world’s top electronic spy agency, according to the firm’s website.

Hackarna har skaffat sig en väg rakt in i mycket stora amerikanska företag och myndigheters datorsystem. Listan på drabbade växer nu, dagligen, liksom listan på de som kan vara potentiellt drabbade:

Amerikanska myndigheter:

  • The Departments of Homeland Security
  • The US Department of Agriculture
  • The Treasury Department
  • The US Postal Service
  • The US Commerce Department

Företag:

  • FireEye – säkerhetsföretag
  • Solarwinds
  • Flera av Microsofts stora kunder
  • 425 av företagen på Topp 500 använder Solwarwinds lösningar
  • Samtliga amerikanska försvarsgrenar använder Solarwinds lösningar
  • de tio största telefonoperatörerna i USA använder Solarwinds lösningar

Enligt uppgifter som Solarwind lämnat till amerikanska myndigheter så har färre än 18 000 av alla företagets 300 000 kunder installerat uppdateringen. Solarwind har även en lång rad kunder internationellt, utanför USA. Uppdateringen med den aktuella DLL-filen ska ha skickats ut i uppdateringen från mars till juni i år.

Attacken

Amerikanska CISA, en gren av Homeland Security, har kommit fram till att attacken inleddes tidigt i våra, inte senare än mars månad, och att hackarna tagit sig in i Solarwinds datorsystem, de inre delarna och där förblivit oupptäckta ända fram till intrånget hos säkerhetsföretaget FireEye för någon vecka sedan. Den kod som lagts in i uppdateringen är också sofistikerad. Efter installationen så ligger koden inaktiv i närmare två veckor innan den aktiveras och öppnar en väg in i det drabbade systemet.

“This APT actor has demonstrated patience, operational security, and complex tradecraft in these intrusions. CISA expects that removing this threat actor from compromised environments will be highly complex and challenging for organizations.”

  • This is a patient, well-resourced, and focused adversary that has sustained long duration activity on victim networks
  • The SolarWinds Orion supply chain compromise is not the only initial infection vector this APT actor leveraged
  • Not all organizations that have the backdoor delivered through SolarWinds Orion have been targeted by the adversary with follow-on actions
  • Organizations with suspected compromises need to be highly conscious of operational security, including when engaging in incident response activities and planning and implementing remediation plans

Det skriver CISA i en första rapport om intrånget.

Ryssland

Ryssland tillbakavisar uppgifterna om att de ska ligga bakom attacken. Ryssland förnekar överhuvudtaget alla attacker och hävdar att landet inte utför några aggressiva eller offensiva handlingar ute i den digitala världen.

Länkar

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: