Ipinaliwanag: Isang napakalaking cyberattack sa US, gamit ang isang nobelang hanay ng mga tool
Isa sa pinakamalaking cyberattacks na naka-target sa mga ahensya ng gobyerno at pribadong kumpanya ng US, ang 'SolarWinds hack' ay nakikita bilang isang malamang na pandaigdigang pagsisikap. Paano ito isinagawa, at anong uri ng data ang nakompromiso? Bakit pinangalanan ng mga opisyal at pulitiko ng gobyerno ng US ang Russia?
Ang target ng cyberattack ay Orion, isang software na ibinigay ng kumpanyang SolarWinds. (Larawan ng Reuters) Ang 'SolarWinds hack', isang cyberattack na natuklasan kamakailan sa Estados Unidos, ay lumitaw bilang isa sa ang pinakamalaking kailanman naka-target laban sa gobyerno ng US, mga ahensya nito at ilang iba pang pribadong kumpanya. Sa katunayan, ito ay malamang na isang pandaigdigang cyberattack.
Una itong natuklasan ng kumpanya ng cybersecurity ng US na FireEye, at mula noon ay patuloy na lumilitaw ang higit pang mga pag-unlad bawat araw. Ang laki ng cyber-attack ay nananatiling hindi alam, kahit na ang US Treasury, Department of Homeland Security, Department of Commerce, mga bahagi ng Pentagon ay pinaniniwalaang lahat ay naapektuhan.
Sa isang piraso ng opinyon isinulat para sa Ang New York Times , Thomas P Bossert, na Homeland Security Adviser para kay Pangulong Donald Trump, ay pinangalanan ang Russia para sa pag-atake. Sumulat siya ng ebidensya sa pag-atake ng SolarWinds na tumuturo sa ahensya ng paniktik ng Russia na kilala bilang SVR, na ang tradecraft ay kabilang sa mga pinaka-advanced sa mundo. Itinanggi ng Kremlin ang pagkakasangkot nito.
Kaya, ano itong 'SolarWinds hack'?
Ang balita ng cyberattack ay teknikal na unang pumutok noong Disyembre 8, nang maglabas ang FireEye ng isang blog na nakakita ng pag-atake sa mga system nito. Tumutulong ang kompanya sa pamamahala sa seguridad ng ilang malalaking pribadong kumpanya at ahensya ng pederal na pamahalaan.
Ang CEO ng FireEye na si Kevin Mandia ay sumulat sa isang blogpost na nagsasabing ang kumpanya ay inatake ng isang napaka-sopistikadong aktor ng pagbabanta, na tinawag itong isang pag-atake na inisponsor ng estado, bagaman hindi nito pinangalanan ang Russia. Sinabi nito na ang pag-atake ay ginawa ng isang bansang may pinakamataas na antas ng mga kakayahan sa opensiba, at ang umaatake ay pangunahing naghahanap ng impormasyon na may kaugnayan sa ilang partikular na customer ng gobyerno. Sinabi rin nito na ang mga pamamaraan na ginamit ng mga umaatake ay nobela.
Pagkatapos noong Disyembre 13, sinabi ng FireEye na ang cyberattack, na pinangalanan nitong Campaign UNC2452, ay hindi ipinahiwatig sa kumpanya ngunit na-target ang iba't ibang pampubliko at pribadong organisasyon sa buong mundo. Malamang na nagsimula ang kampanya noong Marso 2020 at nagpapatuloy nang ilang buwan, sabi ng post. Ang mas masahol pa, ang lawak ng data na ninakaw o nakompromiso ay hindi pa rin alam, dahil ang laki ng pag-atake ay natuklasan pa rin. Matapos makompromiso ang mga system, naganap ang lateral movement at pagnanakaw ng data.
SUMALI KA NA :Ang Express Explained Telegram ChannelPaano naatake ang napakaraming ahensya at kumpanya ng gobyerno ng US?
Tinatawag itong pag-atake ng 'Supply Chain': Sa halip na direktang atakehin ang pederal na pamahalaan o network ng pribadong organisasyon, tina-target ng mga hacker ang isang third-party na vendor, na nagbibigay ng software sa kanila. Sa kasong ito, ang target ay isang IT management software na tinatawag na Orion, na ibinibigay ng kumpanyang SolarWinds na nakabase sa Texas.
Ang Orion ay isang nangingibabaw na software mula sa SolarWinds kasama ng mga kliyente, na kinabibilangan ng mahigit 33,000 kumpanya. Sinabi ng SolarWinds na 18,000 sa mga kliyente nito ang naapektuhan. Hindi sinasadya, tinanggal ng kumpanya ang listahan ng mga kliyente mula sa mga opisyal na website nito.
Ayon sa page, na na-scrub din mula sa Google's Web Archives, kasama sa listahan ang 425 na kumpanya sa Fortune 500, ang nangungunang 10 telecom operator sa US. Sinabi ng ulat ng New York Times na ang mga bahagi ng Pentagon, Centers for Disease Control and Prevention, State Department, Justice Department, at iba pa, ay naapektuhan lahat.
Kinumpirma ng Microsoft na nakakita ito ng katibayan ng malware sa kanilang mga system, bagama't idinagdag nitong walang katibayan ng pag-access sa mga serbisyo ng produksyon o data ng customer, o ang mga system nito ay ginamit upang atakehin ang iba. Sinabi ng presidente ng Microsoft na si Brad Smith na sinimulan ng kumpanya na ipaalam sa higit sa 40 mga customer na mas tumpak at nakompromiso ang target ng mga umaatake.
Sinabi ng ulat ng Reuters na kahit ang mga email na ipinadala ng mga opisyal ng Department of Homeland Security ay sinusubaybayan ng mga hacker.
Paano sila nakakuha ng access?
Ayon sa FireEye, ang mga hacker ay nakakuha ng access sa mga biktima sa pamamagitan ng trojanized na mga update sa SolarWinds' Orion IT monitoring at management software. Karaniwan, ang isang pag-update ng software ay pinagsamantalahan upang i-install ang 'Sunburst' malware sa Orion, na pagkatapos ay na-install ng higit sa 17,000 mga customer.
Sinabi ng FireEye na umasa ang mga umaatake sa maraming pamamaraan upang maiwasang matukoy at maikubli ang kanilang aktibidad. Ang malware ay may kakayahang ma-access ang mga file ng system. Ang nagtrabaho sa pabor ng malware ay nagawa nitong ihalo sa lehitimong aktibidad ng SolarWinds, ayon sa FireEye.
Kapag na-install na, nagbigay ang malware ng backdoor entry sa mga hacker sa mga system at network ng mga customer ng SolarWinds. Higit sa lahat, nagawa rin ng malware na hadlangan ang mga tool gaya ng anti-virus na maaaring makakita nito.
Saan pumapasok ang Russia?
Sa kanyang artikulo sa opinyon sa NYT, pinangalanan ni Bosser ang Russia at ang ahensya nito na SVR, na may mga kakayahan na isagawa ang pag-atake ng gayong katalinuhan at sukat.
Sinabi ng Microsoft sa blog nito na ang aspetong ito ng pag-atake ay lumikha ng kahinaan sa supply chain na halos pandaigdigang kahalagahan, na umaabot sa maraming pangunahing pambansang kabisera sa labas ng Russia. Idinagdag pa nito na naging karaniwan na ang mga sopistikadong pag-atake mula sa Russia.
Ang FireEye, gayunpaman, ay hindi pa pinangalanan ang Russia bilang responsable at sinabing ito ay isang patuloy na pagsisiyasat sa FBI, Microsoft, at iba pang pangunahing mga kasosyo na hindi pinangalanan.
|Paano pinoprotektahan ang kababaihan ng protina na nagpapapasok ng coronavirusAno ang sinabi ng SolarWinds at ng gobyerno ng US tungkol sa hack?
Sa ngayon, inirerekomenda ng SolarWinds na agad na i-update ng lahat ng customer ang umiiral nang Orion platform, na mayroong patch para sa malware na ito. Kung natuklasan ang aktibidad ng umaatake sa isang kapaligiran, inirerekomenda namin ang pagsasagawa ng komprehensibong pagsisiyasat at pagdidisenyo at pagpapatupad ng diskarte sa remediation na hinihimok ng mga natuklasan sa pagsisiyasat at mga detalye ng apektadong kapaligiran, sabi nito.
Ang mga hindi makapag-update ay sinabihan na ihiwalay ang mga server ng SolarWinds at dapat itong isama ang pagharang sa lahat ng paglabas ng Internet mula sa mga server ng SolarWinds. Ang pinakamababang mungkahi ay ang pagpapalit ng mga password para sa mga account na may access sa mga server/imprastraktura ng SolarWinds.
Ang US Cybersecurity and Infrastructure Security Agency (CISA) ay naglabas ng Emergency Directive 21-01, na humihiling sa lahat ng pederal na ahensyang sibilyan na suriin ang kanilang mga network para sa mga tagapagpahiwatig ng kompromiso. Hiniling nito sa kanila na idiskonekta o patayin kaagad ang mga produkto ng SolarWinds Orion.
Ang FBI, CISA at opisina ng Direktor ng National Intelligence ay naglabas ng magkasanib na pahayag, at inihayag ang tinatawag na 'Cyber Unified Coordination Group (UCG) upang i-coordinate ang pagtugon ng gobyerno sa krisis. Tinatawag ito ng pahayag na isang makabuluhan at patuloy na kampanya sa cybersecurity.
Ang White House at Pangulong Donald Trump ay tahimik. Pinakamainam na na-summed ito ni Senator Mitt Romney sa kanyang mga komento sa mamamahayag na si Olivier Knox ng SiriusXM radio, kung saan inihambing niya ang pag-atakeng ito sa katumbas ng mga Russian bombers na lumilipad nang hindi natukoy sa buong bansa na naglalantad sa kahinaan ng cyber warfare ng US. Sinabi niya na ang katahimikan at kawalan ng pagkilos mula sa White House ay hindi mapapatawad.
Si Senator Richard Blumenthal, isang Democrat, ay nag-tweet: Ang cyber-attack ng Russia ay nagdulot sa akin ng labis na pagkaalarma, sa katunayan ay lubos na natakot.
Sinabi ni President-elect Joe Biden sa isang pahayag: Hindi sapat ang isang mahusay na depensa; Kailangan nating guluhin at pigilan ang ating mga kalaban sa pagsasagawa ng makabuluhang pag-atake sa cyber sa unang lugar.
Ibahagi Sa Iyong Mga Kaibigan:
