Злоумышленники получили доступ к сетям SolarWinds намного раньше, чем предполагалось.
Киберпреступники, взломавшие техасского производителя ПО SolarWinds, в прошлом году осуществили пробную атаку, чтобы протестировать свои возможности. Они начали распространять сторонние файлы из сетей SolarWinds еще в октябре 2019 года – за пять месяцев до того, как жертвы загрузили вредоносные обновления для платформы Orion. Эти файлы рассылались 10 октября и не содержали никаких бэкдоров.
Как сообщил изданию Yahoo News близкий к расследованию источник, киберпреступники хотели проверить, сработает ли выбранный ими метод атаки и удастся ли «провернуть» ее незаметно.
«Они не торопились. Они решили не использовать бэкдор сразу. Это означает, что они стали немного более дисциплинированными и осознанными», – отметил источник.
В октябре файлы были обнаружены на системах нескольких жертв, но следователи не зафиксировали никакой дальнейшей вредоносной активности. Однако спустя пять месяцев хакеры загрузили на серверы обновлений SolarWinds дополнительные вредоносные файлы, которые затем попали на системы государственных органов и других организаций. Эти файлы установили бэкдор, открывающий злоумышленникам доступ к атакуемым системам. Попав внутрь зараженной сети, хакеры могли использовать программное обеспечение SolarWinds, чтобы узнать о структуре сети или изменить конфигурацию сетевых систем. Кроме того, они могли взламывать другие системы в сети и загружать новые вредоносные файлы.
Первой о взломе своих систем сообщила ИБ-компания FireEye 8 декабря нынешнего года. Однако новая информация о файлах 2019 года расширяет представленный ранее график вторжений и указывает на то, что хакеры взломали систему обновления ПО SolarWinds как минимум на пять месяцев раньше, чем предполагалось.
«Это свидетельствует о том, что злоумышленники имели доступ к среде SolarWinds не только в нынешнем году, но гораздо раньше. Мы знаем, что у них был доступ как минимум 10 октября 2019 года. Но им, безусловно, пришлось получить доступ раньше. Таким образом, атака (на SolarWinds – ред.) должна была произойти по крайней мере за пару месяцев до этого – возможно, в середине 2019 года», – источник.
Файлы 2019 года были подписаны легитимным цифровым сертификатом SolarWinds и выглядели как подлинный код платформы Orion Platform. Как и файлы с бэкдором, выпущенные в 2020 году, файлы без бэкдора 2019 года были скомпилированы в день рассылки их жертвам, и заражали клиентов в течение нескольких часов, а в некоторых случаях и минут после компиляции.