Centrul Național de Răspuns la Incidente de Securitate Cibernetică – CERT-RO a publicat o alertă cu privire la un atac îndreptat asupra unui număr de instituții guvernamentale.

Săptămâna trecută, Fireye anunța că a fost victima unui incident de securitate cibernetică sofisticat „provocat de un actor statal”. Atacatorii au vizat una dintre diviziile companiei, mai precis cea care simulează atacuri pentru a descoperi vulnerabilități și a dezvolta ulterior soluții de securitate.

Pentru că Fireye furnizează produse de networking și de securitate către numeroase instituții guvernamentale, atacatorii au avut ca țintă informații legate de acești clienți, conform declarațiilor directorului executiv al companiei.

În acel moment nu se cunoșteau foarte multe despre atac, dar între timp un raport Fireye arată faptul că a fost vorba despre un atac ce a exploatat o vulnerabilitate a unei terțe părți respectiv SolarWinds (www.solarwinds.com). SolarWinds are puncte de lucru peste tot în lume și are o sucursală inclusiv în România.  

Practic, atacatorii au reușit să altereze actualizările lansate de compania SolarWinds, pentru a obține acces neautorizat. Investigațiile în derulare au relevat indicii credibile potrivit cărora atacul este în conexiune cu APT29 sau Cozy Bear, și ar fi fost inițiat în primăvara anului 2020.

Impact

Actualizările lansate de SolarWinds au fost utilizate pentru a distribui un backdoor numit SUNBURST, însă nu sunt cunoscute toate consecințele atacului. Printre instituțiile care utilizează produse SolarWinds se află Pentagonul, Departamentul de Stat American, NASA, NSA, Serviciul Poștal American, NOAA, Departmentul de Justiție, inclusiv Președinția SUA.

Aparent, serverul de update-uri a fost compromis încă din martie, astfel că toate update-urile descărcate în perioada martie-decembrie 2020 au conținut un backdoor ce oferea atacatorilor acces complet la echipamente! Software-ul SolarWinds afectat se numește Orion, iar după update backdoor-ul rămâne inactiv timp de 2 săptămâni, după care își ascunde activitatea malițioasă sub activitatea utilitarului Orion. Se estimează că aproximativ 18.000 de clienți SolarWinds au instalat versiunea de update cu variantele de malware TEARDROP și BEACON.

Pentru a afla modul în care funcționează atacul și modalitatea de remediere, vă invităm să lecturați versiunea integrală a informării pe site-ul CERT-RO.