На прошлой неделе выяснилось, что компания SolarWinds, предлагающая решения для IT-менеджмента, была взломана. Предполагается, что за атакой на компанию стоят российские правительственные хакеры. При этом также пострадали Казначейство США, Министерство торговли, Государственный департамент, Министерство энергетики и Департамент внутренней безопасности. В двух органах государственной власти США в результате этого взлома была похищена электронная корреспонденция. Другие правительственные учреждения и многие компании проводят собственные расследования, что вызвано обширным списком клиентов SolarWinds. По данным Wall Street Journal, были заражены и некоторые крупные технологические компании.
Сообщается, что компьютеры в сетях Cisco, Intel, NVIDIA, Belkin и VMware были заражены вредоносным ПО. Хотя список может быть гораздо больше. SolarWinds заявила, что пострадали «менее 18 тыс.» компаний. При этом она даже попыталась скрыть список клиентов, которые использовали заражённое программное обеспечение. Эта новость переводит некоторых известных клиентов SolarWinds из категории «возможно пострадавших» в группу «подтверждено пострадавших».
Пока что крупные технологические компании ограничиваются заявлениями примерно одинакового содержания: «мы проводим расследование, но мы не думаем, что это на нас повлияло». Тем не менее, чтобы полностью осознать возможные последствия взлома, может потребоваться много времени. Примером тому служит история со взломом электронной почты Национального комитета Демократической партии в 2016 году. Также отмечается, что после попадания хакеров в систему, может быть трудно определить, полностью ли удалось удалить их присутствие. Как поясняется в своём отчете Associated Press, может быть трудно полностью доверять сети после того, как хакер проник в неё.
В данном случае у следователей есть много данных, которые нужно проанализировать. Взлом состоялся несколько месяцев назад и всё ещё продолжается активность в этой сфере. Проблема усугубляется тем, что следователи обнаружили другую хакерскую группу, которая взломала SolarWinds с помощью аналогичной уязвимости. Данная атака, получившая название Supernova, сначала считалась частью основной атаки (Sunburst), но теперь следователи полагают, что она была проведена второй, менее опытной группой.
Существует множество причин, из-за которых хакеры могут захотеть проникнуть в системы крупной технологической компании. Это может быть стремление получить доступ к данным о будущих продуктах или информации о сотрудниках и клиентах, которую можно продать или сохранить для выкупа. Также нельзя исключать, что IT-компании стали сопутствующим ущербом, поскольку эти хакерские группы были нацелены на государственные учреждения, которые использовали те же системы IT-управления, предоставленные SolarWinds.