Подозреваемые коммунисические китайские хакеры использовали ошибку SolarWinds для шпионажа за Американским платежным агентством

Himalaya Moscow Katyusha (RU) XingHe

russia-now.com

Подозреваемые коммунисические китайские хакеры воспользовались изъяном в программном обеспечении SolarWinds Corp, чтобы помочь взломать правительственные компьютеры США в прошлом году, сообщили Агентству Рейтер пять человек, знакомых с этим вопросом, отметив новый поворот в распространяющемся нарушении кибербезопасности, которое американские законодатели назвали чрезвычайной ситуацией в области национальной безопасности.

Два человека, проинформированные об этом деле, сказали, что следователи ФБР недавно обнаружили, что Национальный финансовый центр, федеральное агентство по заработной плате в Министерстве сельского хозяйства США, был среди пострадавших организаций, что вызвало опасения, что данные о тысячах государственных служащих могут быть скомпрометированы.

Дефект программного обеспечения, эксплуатируемый подозреваемой коммунистической китайской группой, отличается от того, который Соединенные Штаты обвиняют российских правительственных оперативников в использовании для компрометации до 18 000 клиентов SolarWinds, включая чувствительные федеральные агентства, путем взлома программного обеспечения компании по мониторингу сети “Орион”.

Исследователи безопасности ранее заявляли, что вторая группа хакеров злоупотребляла программным обеспечением SolarWinds в то же время, что и предполагаемый российский взлом, но о предполагаемой связи с коммунистическим Китаем и последовавшем за этим нарушении со стороны правительства США ранее не сообщалось.

Агентство Рейтер не смогло установить, сколько организаций было скомпрометировано в результате предполагаемой коммунистической китайской операции. Источники, которые говорили на условиях анонимности, чтобы обсудить текущие расследования, заявили, что злоумышленники использовали компьютерную инфраструктуру и хакерские инструменты, ранее развернутые государственными кибершпионами коммунистического Китая.

Представитель Министерства сельского хозяйства США сообщил по электронной почте: “Министерство сельского хозяйства США уведомило всех клиентов (включая частных лиц и организации), чьи данные были затронуты компрометацией кода SolarWinds Orion.”

В последующем заявлении после публикации этой истории другой представитель Министерства сельского хозяйства США заявил, что NFC не была взломана и что “в агентстве не было никаких нарушений данных, связанных с Солнечными ветрами”. Дальнейших объяснений он не дал.

Министерство иностранных дел Коммунистической партии Китая (КПК) заявило, что приписывание кибератак является “сложным техническим вопросом”, и любые утверждения должны быть подкреплены доказательствами. “Китай решительно выступает против любых форм кибератак и киберугроз и борется с ними”, – говорится в заявлении.

SolarWinds заявила, что ей известно об одном клиенте, который был скомпрометирован второй группой хакеров, но что она “не нашла ничего убедительного”, чтобы показать, кто несет ответственность. Компания добавила, что злоумышленники не получили доступа к ее собственным внутренним системам и что она выпустила обновление для исправления ошибки в декабре.

В случае единственного клиента, о котором он знал, SolarWinds сказал, что хакеры злоупотребляли его программным обеспечением только один раз в сети клиента. SolarWinds не сказал, как хакеры впервые проникли внутрь, за исключением того, что это было “способом, который не был связан с SolarWinds.”

В ФБР отказались от комментариев.

Хотя эти две шпионские операции пересекаются и обе нацелены на правительство США, они были отдельными и совершенно разными операциями, согласно четырем людям, которые расследовали атаки, и внешним экспертам, которые изучали код, используемый обеими группами хакеров.

В то время как предполагаемые российские хакеры проникли глубоко в сеть SolarWinds и спрятали “черный ход” в обновлениях программного обеспечения Orion, которые затем были отправлены клиентам, предполагаемая китайская группа использовала отдельную ошибку в коде Orion, чтобы помочь распространиться по сетям, которые они уже скомпрометировали, сообщили источники.

Параллельные миссии показывают, как хакеры сосредотачиваются на слабых сторонах малоизвестных, но важных программных продуктов, которые широко используются крупными корпорациями и правительственными учреждениями.

“Очевидно, SolarWinds был важной целью для более чем одной группы”,-сказала Джен Миллер Осборн, заместитель директора по разведке угроз в подразделении Palo Alto Networks 42.

Бывший главный специалист по информационной безопасности США Грегори Таухилл сказал, что отдельные группы хакеров, нацеленные на один и тот же программный продукт, не являются чем-то необычным. “Это не первый раз, когда мы видим актера национального государства, занимающегося серфингом позади кого-то другого, это похоже на” черчение “в NASCAR”, – сказал он, где один гоночный автомобиль получает преимущество, внимательно следуя за другим.

Связь между второй серией атак на клиентов SolarWinds и предполагаемыми коммунистическими китайскими хакерами была обнаружена только в последние недели, по данным аналитиков безопасности, проводивших расследование вместе с правительством США.

Агентство Рейтер не смогло определить, какую информацию злоумышленники смогли украсть из Национального финансового центра (NFC) или как глубоко они зарылись в его системы. Но потенциальное воздействие может быть “массовым”, заявили Рейтер бывшие правительственные чиновники США.

По словам бывших чиновников, NFC отвечает за обработку заработной платы нескольких правительственных учреждений, в том числе нескольких, занимающихся вопросами национальной безопасности, таких как ФБР, Госдепартамент, Министерство внутренней безопасности и Министерство финансов.

+1
0 Comments
Inline Feedbacks
View all comments