განმარტა: როგორ მოხვდა SolarWinds-ის კიბერშეტევა Microsoft-ზე

მაიკროსოფტმა არ დაადასტურა, თუ რა კოდის წვდომა ჰქონდათ ჰაკერებს. თუმცა, ის ფაქტი, რომ ჰაკერები ასე ღრმად შევიდნენ, საკმაოდ შემაშფოთებელია, წყაროს კოდის მოცემული გადამწყვეტია, თუ როგორ მუშაობს ნებისმიერი პროგრამული უზრუნველყოფის ნაწილი.

კიბერშეტევის სამიზნე იყო კომპანია SolarWinds-ის მიერ მოწოდებული პროგრამული უზრუნველყოფა Orion. (როიტერის ფოტო)

როგორც SolarWinds-ის კიბერშეტევის მიმდინარე გამოძიების ნაწილი, Microsoft-მა გამოავლინა, რომ თავდამსხმელები სავარაუდოდ წვდომა ჰქონდათ მის შიდა კოდზე. კომპანიამ ადრე დაადასტურა, რომ ისიც კომპრომეტირებული იყო, არის ის, რაც განიხილება, როგორც მსოფლიოში ერთ-ერთი უდიდესი კიბერშეტევა, რომელიც ძირითადად მიმართული იყო შეერთებული შტატების (აშშ) მთავრობასა და რამდენიმე სხვა კერძო ორგანიზაციაზე. SolarWinds-ის კიბერშეტევა პირველად დეკემბერში გამოავლინა კიბერუსაფრთხოების ფირმა FireEye-მ.

ჩვენ ვუყურებთ რა გამოავლინა Microsoft-ის უახლესმა გამოძიებამ და რას ნიშნავს ეს.

რა გამოავლინა მაიკროსოფტმა თავის ახალ გამოკვლევებში?

კომპანიის ოფიციალური ბლოგის პოსტის მიხედვით, Microsoft-ის შიდა უსაფრთხოების კვლევითმა ჯგუფმა იპოვა მტკიცებულება, რომ თავდამსხმელებმა შედიოდნენ კომპანიის სისტემების შიდა წყაროს კოდზე. „Solorigate ინციდენტი“, როგორც მას Microsoft-მა უწოდა ბლოგში, აჩვენა, რომ იყო მცდელობა, რომელიც მიღმა იყო მხოლოდ მავნე SolarWinds კოდის არსებობა ჩვენს გარემოში.

ჩვენ აღმოვაჩინეთ უჩვეულო აქტივობა შიდა ანგარიშების მცირე რაოდენობით და განხილვისას აღმოვაჩინეთ, რომ ერთი ანგარიში გამოიყენებოდა წყაროს კოდის სანახავად რამდენიმე წყაროს საცავში. პოსტის მიხედვით, ანგარიშს არ გააჩნდა საჭირო ნებართვები კოდზე წვდომისთვის, მისი შესაცვლელად და არც საინჟინრო სისტემებზე წვდომის უფლება ჰქონდა.

კომპანია ამბობს, რომ ჯერჯერობით გამოძიებამ დაადასტურა, რომ ამ წყაროს კოდში ცვლილებები არ განხორციელებულა. ეს ანგარიშები იქნა გამოკვლეული და გამოსწორებული, დასძენს კომპანია.

Რას ნიშნავს ეს?

მაიკროსოფტმა არ დაადასტურა, თუ რა კოდის წვდომა ჰქონდათ ჰაკერებს. თუმცა, ის ფაქტი, რომ ჰაკერები ასე ღრმად შევიდნენ, საკმაოდ შემაშფოთებელია, წყაროს კოდის მოცემული გადამწყვეტია, თუ როგორ მუშაობს ნებისმიერი პროგრამული უზრუნველყოფის ნაწილი. წყაროს კოდი არის გასაღები იმისა, თუ როგორ იქმნება პროგრამული პროდუქტი და თუ კომპრომეტირებულია, ის შეიძლება ღია დარჩეს ახალი, უცნობი რისკებისთვის. ჰაკერებს შეუძლიათ გამოიყენონ ეს ინფორმაცია პროგრამების ნებისმიერი პოტენციური სისუსტის გამოსაყენებლად.

მაიკროსოფტი ამბობს, რომ ამ აქტივობამ საფრთხე არ შეუქმნა ჩვენი სერვისების უსაფრთხოებას ან მომხმარებელთა მონაცემებს, მაგრამ დასძენს, რომ მათ მიაჩნიათ, რომ ეს თავდასხმა განხორციელდა ძალიან დახვეწილი ეროვნული სახელმწიფოს მიერ. კომპანია ამბობს, რომ არ არსებობს არანაირი მტკიცებულება იმისა, რომ მისი სისტემები გამოიყენებოდა სხვებზე თავდასხმისთვის.

კიდევ რა გამოავლინა Microsoft-მა?

Microsoft ამბობს, რომ ისინი ეყრდნობიან ღია კოდის პროგრამული უზრუნველყოფის განვითარების საუკეთესო პრაქტიკას და ღია კოდის მსგავს კულტურას პროგრამული უზრუნველყოფის განვითარებისთვის. ბლოგის მიხედვით, როგორც წესი, წყაროს კოდის ნახვა შესაძლებელია Microsoft-ის გუნდების მიერ. კომპანია ასევე აღნიშნავს, რომ მისი საფრთხის მოდელები ვარაუდობენ, რომ თავდამსხმელებს აქვთ წყარო კოდის ცოდნა. მაიკროსოფტი ამცირებს რისკს და ამბობს, რომ მხოლოდ საწყისი კოდის ნახვამ არ უნდა გამოიწვიოს რაიმე ახალი გაზრდილი რისკი.

მაიკროსოფტი ამბობს, რომ მას აქვს უამრავი თავდაცვითი დაცვა, რათა შეაჩეროს თავდამსხმელები, თუ და როდის მიიღებენ წვდომას. ნათქვამია, რომ არსებობს მტკიცებულება, რომ ჰაკერების საქმიანობა ჩაიშალა კომპანიის არსებული დაცვის გამო.

ტექნიკური გიგანტი ამბობს, რომ ახალ ინფორმაციას მიიღებს დამატებით განახლებებს.

კიდევ რა გამოვლინდა SolarWinds-ის ამ ჰაკში?

ამ კიბერშეტევის პრობლემა ის არის, რომ ის იმდენ ხანს გრძელდება, რომ სრული მასშტაბები უცნობია. სინამდვილეში, შეტევა შესაძლოა გასულ გაზაფხულზე ადრე დაიწყო, როგორც ადრე ითვლებოდა. ვირჯინიის დემოკრატი სენატორმა მარკ უორნერმა, რომელიც მსახურობს სენატის დაზვერვის კომიტეტის ვიცე-თავმჯდომარედ, განუცხადა Reuters-ს ინტერვიუში, რომ თავდასხმა, სავარაუდოდ, ბევრად ადრე დაიწყო. მან ასევე თქვა, რომ ამ დროისთვის აშშ-ს მთავრობას არ გააჩნია მყარი მტკიცებულება იმისა, რომ საიდუმლო სამთავრობო საიდუმლოება ჰაკერების მიერ იყო კომპრომეტირებული, ნათქვამია Reuters-ის მოხსენებაში.

თავდასხმის მასშტაბები ასევე უცნობია, უმეტესი ინფორმაციით. იმავდროულად, FireEye-მა, რომელმაც აღმოაჩინა თავდასხმა, გამოავლინა ახალი დეტალები Sunburst მავნე პროგრამის შესახებ. მავნე პროგრამამ გამოიყენა SolarWinds Orion პროგრამული უზრუნველყოფა, რომელსაც იყენებს ათასობით კომპანია, მათ შორის აშშ-ს რამდენიმე სამთავრობო უწყება.

FireEye-ის თანახმად, Sunburst – ციფრულად ხელმოწერილი SolarWinds Orion მოდულის მავნე ვერსია – შეიცავს უკანა კარს, რომელიც დაუკავშირდება HTTP-ის მეშვეობით მესამე მხარის სერვერებს. როგორც ჩანს, მოდული რჩება მიძინებული პერიოდის განმავლობაში ორ კვირამდე, რის შემდეგაც იგი იწყებს ბრძანებების შესრულებას და დავალებების შესრულებას, როგორიცაა ფაილების გადაცემა, ფაილების შესრულება, სისტემის პროფილი, სისტემის გადატვირთვა და სისტემის სერვისების გამორთვა.

ასევე ჩანს, რომ მავნე პროგრამა ახორციელებს მრავალრიცხოვან შემოწმებას, რათა დარწმუნდეს, რომ არ არსებობს ანალიზის ხელსაწყოები, FireEye-ის თანახმად. კიბერუსაფრთხოების ფირმის თანახმად, ეს ფრთხილი მიდგომა არის ის, რაც დაეხმარა მავნე პროგრამას ანტივირუსული პროგრამული უზრუნველყოფისა და სასამართლო ექსპერტიზის გამომძიებლების მიერ გამოვლენის თავიდან აცილებაში შვიდი თვის განმავლობაში SolarWinds Orion-ის მიწოდების ქსელში მისი დანერგვის შემდეგ.

ᲒᲐᲣᲖᲘᲐᲠᲔᲗ ᲗᲥᲕᲔᲜᲡ ᲛᲔᲒᲝᲑᲠᲔᲑᲡ: