Как FireEye приписал хакерскую кампанию SolarWinds российским шпионам

По сценарию Джеффа Стоуна

Тщательный сбор данных, поиск по конкретным ключевым словам и тип взлома – вот факторы, которые FireEye использовала, чтобы определить, что хакеры, спонсируемые Кремлем, стояли за одной из крупнейших операций кибершпионажа за последние годы.

Первая кампания, известная как SolarWinds, в которой шпионы использовали федерального подрядчика для взлома девяти правительственных агентств США и почти 100 компаний, была раскрыта в начале декабря 2020 года, когда FireEye объявила, что ее инструменты тестирования безопасности были украдены хакерами. . Компания из Милпитаса обнаружила, что программа SolarWinds была затронута в ходе расследования, которое привело к проверкам во всех департаментах национальной безопасности США, которые все еще продолжаются.

«Мы узнали, что проникновение в цепочку поставок – это честная игра», – заявил во вторник генеральный директор FireEye Кевин Мандиа во время CyberTalks, саммита, организованного CyberScoop.

Пытаясь понять масштабы взлома, по словам Мандиа, следователи FireEye заметили, что хакеры искали определенные ключевые слова, что указывает на то, что у них были определенные цели для сбора разведданных. Хакеры также использовали конкретное имя пользователя и пароли для каждой взломанной учетной записи, вместо того, чтобы использовать один бэкдор для программы, подобной мастер-ключу, которая разблокировала бы все необходимые данные.

«Что они делали, так это использовали точные и правильные учетные данные для всего, во что они влезли», – сказала Мандия. «Это система, это обучение, это методология. И я не вижу, чтобы какая-либо страна занималась этим, кроме России».

Через месяц после атрибуции FireEye Мандиа лично получила открытку, которая, как впервые сообщило Reuters, была связана с Россией. Записка, адресованная генеральному директору, как сообщается, ставит под сомнение способность FireEye точно идентифицировать виновника взлома. Остается неясным, была ли эта попытка тактикой разжигания страха со стороны иностранной разведки.

READ  Borrell-ANI говорит, что отношения между Европейским Союзом и Россией, далекие от удовлетворительных каналов диалога, должны оставаться открытыми.

«Это проблема киберпространства. Оно настолько анонимно, и у них так много правдоподобных отрицаний, что трудно понять, что, если что-то происходит в физическом мире, действительно ли это связано с кибер-миром», – заявила Мандия во вторник. Когда меня спрашивают по этому поводу. Или нет ».« Что я узнал из имплантата SolarWinds и тех, кто нацелился на него, так это то, что компании, занимающиеся программным обеспечением и безопасностью, являются совершенно честной шпионской игрой ».

Авария SolarWinds остается предметом пристального внимания в Вашингтоне. Белый дом требует 750 миллионов долларов в своем последнем бюджетном запросе на восстановление после инцидента, в то время как Microsoft недавно определила, что та же российская хакерская группа с тех пор провела целенаправленную фишинговую операцию, в которой шпионы маскируются под сотрудников Агентства США по международному развитию.

FireEye с тех пор объявила, что продаст свой бизнес по производству продуктов безопасности за 1,2 миллиарда долларов компании Symphony Technology Group, частной инвестиционной компании.



Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *