Агентство по кибербезопасности и защите инфраструктуры Министерства внутренней безопасности США (DHS-CISA) показало, что взлом SolarWinds затронул правительственные учреждения США, объекты критической инфраструктуры и частные группы.

Автор: Алисия Хоуп, собственный корреспондент CPO Magazine

Эксперты предполагают, что около 50 жертв, в том числе 40 клиентов, предупрежденных Microsoft, были среди организаций, взломанных предполагаемыми российскими хакерами.

По данным The Intercept, жертвами стали 15 критически важных инфраструктурных компаний в газовой, энергетической, нефтяной и обрабатывающей промышленности.

Точно так же атака SolarWinds затронула компании, предоставляющие основные услуги важным инфраструктурным объектам, такие как поставщики промышленных систем управления (ICS), некоторые из которых являются производителями оригинального оборудования (OEMs). The Intercept сообщил, что три такие компании пострадали от атаки цепочки поставок SolarWinds.

Однако подробностей о том, проникли ли злоумышленники, стоящие за взломом SolarWinds, в основные системы пострадавших клиентов, недостаточно.

CISA утверждает, что взлом SolarWinds повлиял на государственные, частные и критически важные объекты инфраструктуры

CISA (Агентство кибербезопасности и охраны инфраструктуры) заявляет, что обширная кампания кибершпионажа, обнародованная в конце прошлого года, затрагивает государственные и местные органы власти, хотя и не сообщает подробностей о характере вторжения.

В заявлении, опубликованном на сайте, федеральное агентство заявило, что хакерская кампания «оказывает влияние на корпоративные сети федеральных, государственных и местных органов власти, а также на объекты критической инфраструктуры и другие организации частного сектора».

Несколько федеральных правительственных учреждений, включая Министерство торговли, Министерство финансов США и Министерство энергетики, подтвердили, что они пострадали от взлома SolarWinds.

Однако, агентство кибербезопасности не упомянуло никаких конкретных государственных или местных агентств, а также объектов критической инфраструктуры, пострадавших от взлома SolarWinds.

Между тем агентство Reuters сообщило, что округ Пима, штат Аризона, был среди местных властей, пострадавших от хакерской атаки.

Ранее главный информационный директор округа Пима заявил, что местные власти деактивировали программное обеспечение SolarWinds Orion. В частном секторе от взлома пострадали технологические компании, больница и университет. Однако полный масштаб взлома SolarWinds трудно оценить, учитывая, что злоумышленники использовали дополнительные векторы атаки.

Критически важные объекты инфраструктуры и нарушения OEM-производителей увеличивают поверхность атаки

Взломанные OEM-производители, поставляющие системы промышленного управления критически важным объектам инфраструктуры, имеют удаленный и привилегированный доступ к сетям и инфраструктуре компаний.

Эти привилегии позволяют им изменять настройки сети, устанавливать новое программное обеспечение и контролировать важные производственные процессы. Хакерский взлом SolarWinds может нарушить работу OEM-производителей, чтобы расширить свою поверхность атаки, внося больше уязвимостей в сети объектов критически важной инфраструктуры.

Они также могут использовать возможность вмешиваться в производственные процессы, извлекать данные или устанавливать бэкдоры на программное обеспечение OEM-производителей, чтобы поставить под угрозу компании критически важной инфраструктуры, которые используют промышленные системы управления по всему миру.

Некоторые OEM-производители также установили зараженное программное обеспечение SolarWinds Orion в сетях своих клиентов для упрощения дистанционного управления своим оборудованием. Такие OEM-производители могли непреднамеренно внести уязвимости в сторонние критически важные инфраструктурные компании, которые могут быть использованы для получения доступа к корпоративным сетям клиентов.

Ссылка на источник