განმარტა: მასიური კიბერშეტევა აშშ-ში ახალი ინსტრუმენტების გამოყენებით

ერთ-ერთი ყველაზე დიდი კიბერშეტევა, რომელიც მიმართული იყო აშშ-ს სამთავრობო უწყებებსა და კერძო კომპანიებზე, „SolarWinds ჰაკი“ განიხილება, როგორც სავარაუდო გლობალური ძალისხმევა. როგორ განხორციელდა ეს და რა სახის მონაცემები იყო გატეხილი? რატომ დაასახელეს აშშ-ის მთავრობის წარმომადგენლები და პოლიტიკოსები რუსეთი?

კიბერშეტევის სამიზნე იყო კომპანია SolarWinds-ის მიერ მოწოდებული პროგრამული უზრუნველყოფა Orion. (როიტერის ფოტო)

'SolarWinds ჰაკი', კიბერშეტევა, რომელიც ახლახან აღმოაჩინეს შეერთებულ შტატებში, გამოჩნდა, როგორც ერთ-ერთი. ყველაზე დიდი ოდესმე მიმართულია აშშ-ს მთავრობის, მისი სააგენტოების და რამდენიმე სხვა კერძო კომპანიის წინააღმდეგ. სინამდვილეში, ეს სავარაუდოდ გლობალური კიბერშეტევაა.

ის პირველად აღმოაჩინა ამერიკულმა კიბერუსაფრთხოების კომპანიამ FireEye-მ და მას შემდეგ ყოველდღიურად უფრო მეტი განვითარება ჩნდება. კიბერშეტევის მასშტაბები უცნობია, თუმცა ითვლება, რომ აშშ-ის ხაზინა, შიდა უსაფრთხოების დეპარტამენტი, ვაჭრობის დეპარტამენტი და პენტაგონის ნაწილები ყველა დაზარალდა.

ში აზრის ნაჭერი დაწერილი Ნიუ იორკ თაიმსი თომას ბოსერტმა, რომელიც იყო პრეზიდენტის დონალდ ტრამპის მრჩეველი შიდა უსაფრთხოების საკითხებში, თავდასხმაში რუსეთი დაასახელა. მან დაწერა მტკიცებულება SolarWinds-ის თავდასხმაში, მიუთითებს რუსეთის სადაზვერვო სააგენტოზე, რომელიც ცნობილია როგორც SVR, რომლის ვაჭრობა ერთ-ერთი ყველაზე მოწინავეა მსოფლიოში. კრემლი უარყოფს მის მონაწილეობას.

მაშ, რა არის ეს 'SolarWinds ჰაკი'?

კიბერთავდასხმის შესახებ სიახლე ტექნიკურად პირველად 8 დეკემბერს გავრცელდა, როდესაც FireEye-მა გამოუშვა ბლოგი, რომელიც აღმოაჩინა თავდასხმა მის სისტემებზე. ფირმა ეხმარება რამდენიმე მსხვილი კერძო კომპანიისა და ფედერალური სამთავრობო სააგენტოების უსაფრთხოების მენეჯმენტში.

FireEye-ის აღმასრულებელმა დირექტორმა კევინ მანდიამ ბლოგპოსტში დაწერა, რომ კომპანიას თავს დაესხა ძალიან დახვეწილი საფრთხის წარმომადგენელი და მას სახელმწიფოს მიერ დაფინანსებული თავდასხმა უწოდა, თუმცა რუსეთი არ დაასახელა. მასში ნათქვამია, რომ თავდასხმა განხორციელდა ერის მიერ, რომელსაც აქვს უმაღლესი დონის შეტევითი შესაძლებლობები და თავდამსხმელი ძირითადად ეძებდა ინფორმაციას გარკვეულ სახელმწიფო კლიენტებთან. მან ასევე განაცხადა, რომ თავდამსხმელების მიერ გამოყენებული მეთოდები ახალი იყო.

შემდეგ 13 დეკემბერს FireEye-მ განაცხადა, რომ კიბერშეტევა, რომელსაც მან უწოდა Campaign UNC2452, არ შემოიფარგლებოდა კომპანიისთვის, მაგრამ მიზნად ისახავდა სხვადასხვა საჯარო და კერძო ორგანიზაციებს მთელს მსოფლიოში. კამპანია სავარაუდოდ 2020 წლის მარტში დაიწყო და თვეების განმავლობაში გრძელდება, ნათქვამია პოსტში. უფრო უარესი, მოპარული ან კომპრომეტირებული მონაცემების მასშტაბი ჯერ კიდევ უცნობია, თუ გავითვალისწინებთ თავდასხმის მასშტაბებს, ჯერ კიდევ აღმოაჩინეს. სისტემების დარღვევის შემდეგ მოხდა გვერდითი მოძრაობა და მონაცემთა ქურდობა.

როგორ განხორციელდა თავდასხმა აშშ-ს ამდენ სამთავრობო უწყებასა და კომპანიაზე?

ამას ეწოდება 'მომარაგების ჯაჭვის' შეტევა: ფედერალურ მთავრობაზე ან კერძო ორგანიზაციის ქსელზე უშუალო თავდასხმის ნაცვლად, ჰაკერები მიზნად ისახავს მესამე მხარის გამყიდველს, რომელიც მათ პროგრამულ უზრუნველყოფას აწვდის. ამ შემთხვევაში, სამიზნე იყო IT მართვის პროგრამული უზრუნველყოფა სახელწოდებით Orion, რომელსაც ტეხასური კომპანია SolarWinds აწვდიდა.

Orion იყო SolarWinds-ის დომინანტური პროგრამული უზრუნველყოფა კლიენტებთან, რომელიც მოიცავს 33000-ზე მეტ კომპანიას. SolarWinds ამბობს, რომ მისი 18000 კლიენტი დაზარალდა. სხვათა შორის, კომპანიამ ოფიციალური ვებგვერდებიდან კლიენტთა სია წაშალა.

გვერდის მიხედვით, რომელიც ასევე ამოღებულია Google-ის ვებ არქივიდან, სიაში შედის 425 კომპანია Fortune 500-ში, აშშ-ს 10 საუკეთესო ტელეკომის ოპერატორს შორის. New York Times-ის მოხსენებაში ნათქვამია, რომ პენტაგონის ნაწილები, დაავადებათა კონტროლისა და პრევენციის ცენტრები, სახელმწიფო დეპარტამენტი, იუსტიციის დეპარტამენტი და სხვები დაზარალდნენ.

მაიკროსოფტმა დაადასტურა, რომ მან აღმოაჩინა მავნე პროგრამის მტკიცებულება მათ სისტემებზე, თუმცა დასძინა, რომ არ არსებობს მტკიცებულება წარმოების სერვისებზე ან მომხმარებელთა მონაცემებზე წვდომის შესახებ, ან რომ მისი სისტემები გამოიყენებოდა სხვებზე თავდასხმისთვის. მაიკროსოფტის პრეზიდენტმა ბრედ სმიტმა თქვა, რომ კომპანიამ დაიწყო 40-ზე მეტი მომხმარებლის შეტყობინება, რომ თავდამსხმელები უფრო ზუსტად იყვნენ მიზანმიმართული და კომპრომისზე წავიდნენ.

Reuters-ის მოხსენებაში ნათქვამია, რომ შიდა უსაფრთხოების დეპარტამენტის ოფიციალური პირების მიერ გაგზავნილ ელ.წერილებსაც კი ჰაკერები აკონტროლებდნენ.

როგორ მიიღეს მათ წვდომა?

FireEye-ის თანახმად, ჰაკერებმა მსხვერპლზე წვდომა მიიღეს SolarWinds-ის Orion-ის IT მონიტორინგისა და მართვის პროგრამული უზრუნველყოფის ტროიანიზებული განახლებების მეშვეობით. ძირითადად, პროგრამული უზრუნველყოფის განახლება გამოიყენეს Orion-ში „Sunburst“ მავნე პროგრამის დასაყენებლად, რომელიც შემდეგ დაინსტალირდა 17000-ზე მეტმა მომხმარებელმა.

FireEye ამბობს, რომ თავდამსხმელები ეყრდნობოდნენ მრავალ ტექნიკას, რათა არ აღმოჩენილიყვნენ და არ დაეფარათ მათი აქტივობა. მავნე პროგრამას შეეძლო სისტემის ფაილებზე წვდომა. ის, რაც მავნე პროგრამის სასარგებლოდ მუშაობდა, ის იყო, რომ მან შეძლო შეერწყა SolarWinds-ის ლეგიტიმურ საქმიანობას, FireEye-ის თანახმად.

დაინსტალირების შემდეგ, მავნე პროგრამამ ჰაკერებს გადასცა უკანა კარი SolarWinds-ის მომხმარებლების სისტემებსა და ქსელებში. რაც მთავარია, მავნე პროგრამას ასევე შეეძლო ჩაეშალა ისეთი ინსტრუმენტები, როგორიცაა ანტივირუსი, რომელსაც შეეძლო მისი აღმოჩენა.

საიდან მოდის რუსეთი?

თავის NYT-ის სტატიაში, ბოსერტმა დაასახელა რუსეთი და მისი სააგენტო SVR, რომელსაც აქვს უნარი განახორციელოს ასეთი ჭკუის და მასშტაბის შეტევა.

მაიკროსოფტი თავის ბლოგში აღნიშნავს, რომ თავდასხმის ამ ასპექტმა შექმნა თითქმის გლობალური მნიშვნელობის მიწოდების ჯაჭვის დაუცველობა, რომელმაც მიაღწია ბევრ მთავარ ეროვნულ დედაქალაქს რუსეთის ფარგლებს გარეთ. აქვე დასძენს, რომ რუსეთის მხრიდან დახვეწილი თავდასხმები ჩვეულებრივი გახდა.

თუმცა, FireEye-მა ჯერ არ დაასახელა რუსეთი, როგორც პასუხისმგებელი და თქვა, რომ ეს მიმდინარეობს გამოძიება FBI-სთან, Microsoft-თან და სხვა საკვანძო პარტნიორებთან, რომლებიც არ სახელდება.

რა თქვეს SolarWinds-მა და აშშ-ს მთავრობამ ჰაკერზე?

ახლავე, SolarWinds რეკომენდაციას უწევს ყველა მომხმარებელს დაუყოვნებლივ განაახლოს არსებული Orion პლატფორმა, რომელსაც აქვს პაჩი ამ მავნე პროგრამისთვის. თუ თავდამსხმელის აქტივობა აღმოჩენილია გარემოში, ჩვენ გირჩევთ ჩაატაროთ ყოვლისმომცველი გამოძიება და შეიმუშაოთ და განახორციელოთ გამოსწორების სტრატეგია, რომელიც გამოწვეულია საგამოძიებო აღმოჩენებითა და ზემოქმედების ქვეშ მყოფი გარემოს დეტალებით, ნათქვამია მასში.

მათ, ვისაც არ შეუძლიათ განახლება, ეუბნებიან, რომ იზოლირება მოახდინოს SolarWinds სერვერებზე და ეს უნდა მოიცავდეს SolarWinds სერვერებიდან ინტერნეტის ყველა გადინების დაბლოკვას. მინიმალური შემოთავაზება არის პაროლების შეცვლა იმ ანგარიშებისთვის, რომლებსაც აქვთ წვდომა SolarWinds სერვერებზე / ინფრასტრუქტურაზე.

აშშ-ის კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტომ (CISA) გამოსცა საგანგებო დირექტივა 21-01, რომელიც სთხოვს ყველა ფედერალურ სამოქალაქო სააგენტოს გადახედონ თავიანთი ქსელებს კომპრომისის ინდიკატორებისთვის. მან სთხოვა მათ დაუყოვნებლივ გათიშონ ან გამორთონ SolarWinds Orion-ის პროდუქტები.

FBI-მ, CISA-მ და ეროვნული დაზვერვის დირექტორის ოფისმა გამოაქვეყნეს ერთობლივი განცხადება და გამოაცხადეს ის, რასაც ჰქვია 'კიბერ ერთიანი საკოორდინაციო ჯგუფი (UCG) კრიზისზე მთავრობის რეაგირების კოორდინაციის მიზნით. განცხადებაში ამას უწოდებს მნიშვნელოვან და მიმდინარე კიბერუსაფრთხოების კამპანიას.

თეთრი სახლი და პრეზიდენტი დონალდ ტრამპი დუმდნენ. სენატორმა მიტ რომნიმ ეს საუკეთესოდ შეაჯამა რადიო SiriusXM-ის ჟურნალისტ ოლივიე ნოქსისთვის მიცემულ კომენტარებში, სადაც მან შეადარა ეს თავდასხმა რუსული ბომბდამშენების ეკვივალენტს, რომლებიც დაფრინავდნენ მთელ ქვეყანაში დაუცველად დაფრინავენ აშშ-ს კიბერ ომის სისუსტეს. მისი თქმით, თეთრი სახლის დუმილი და უმოქმედობა უპატიებელია.

სენატორმა რიჩარდ ბლუმენტალმა, დემოკრატმა, ტვიტერში დაწერა: რუსეთის კიბერშეტევამ ღრმად შემაშფოთა, ფაქტობრივად, სრულიად შემეშინდა.

არჩეულმა პრეზიდენტმა ჯო ბაიდენმა განაცხადა: კარგი თავდაცვა არ არის საკმარისი; ჩვენ უნდა შევუშალოთ ხელი და შევიკავოთ ჩვენი მოწინააღმდეგეები მნიშვნელოვანი კიბერშეტევების განხორციელებისგან.

ᲒᲐᲣᲖᲘᲐᲠᲔᲗ ᲗᲥᲕᲔᲜᲡ ᲛᲔᲒᲝᲑᲠᲔᲑᲡ: