CISA выпустила руководство для пострадавших от атак на SolarWinds и Active Directory/M365

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) США опубликовало руководство с подробным описанием шагов, которые пострадавшие от атаки на цепочку поставок SolarWinds и Active Directory/M365 организации должны предпринять для изгнания злоумышленников из скомпрометированной среды.

Напомним, в декабре 2020 года финансируемые иностранным правительством хакеры взломали компьютерные сети американского производителя программного обеспечения SolarWinds и внедрили вредоносное обновление для его ПО Orion с целью заражения сетей использующих его компаний и организаций.

В опубликованном аналитическом отчете AR21-134A , специально предназначенном для федеральных агентств, которые использовали уязвимые версии SolarWinds Orion и обнаружили злоумышленники в своей среде, подробно описаны ресурсоемкие и комплексные шаги по исправлению данной ситуации. Организациям необходимо отключить свою корпоративную сеть от Интернета на период от трех до пяти дней.

Критической инфраструктуре, правительственным организациям и предприятиям частного сектора рекомендуется изучить и применить руководство, чтобы вывести злоумышленников из своей сети и усилить безопасность.

«Выполнение каждого шага в этом руководстве необходимо для полного изгнания противника из сетей. Неспособность выполнить комплексные и тщательные действия по исправлению положения подвергнет корпоративные сети и облачные среды существенному риску длительной необнаруженной активности APT, а скомпрометированные организации будут рисковать дальнейшей потерей конфиденциальных данных и подрывом общественного доверия к своим сетям», — отмечает CISA.