Microsoft была взломана в ходе масштабной хакерской кампании, раскрытой американскими официальными лицами на этой неделе, по словам людей, знакомых с этим вопросом, добавив главную технологическую цель к растущему списку жизненно важных правительственных учреждений.
Компания Redmond, Washington, использовала широко распространенное программное обеспечение для управления сетями от SolarWinds, которое использовалось в предполагаемых российских атаках на американские агентства и другие. Люди говорили, что у него также были свои собственные продукты, использованные для дальнейших атак на других.
Reuters не смогло сразу определить, сколько пользователей Microsoft пострадало от испорченных продуктов. Министерство внутренней безопасности, которое ранее в четверг заявило, что хакеры использовали несколько методов проникновения, продолжает расследование.
В ответ на отчет Microsoft заявила, что «как и другие клиенты SolarWinds, мы активно ищем индикаторы этого актора и можем подтвердить, что мы обнаружили вредоносные двоичные файлы SolarWinds в нашей среде, которые мы изолировали и удалили».
«Мы не нашли доказательств доступа к производственным услугам или данным клиентов. Наши расследования, которые продолжаются, не нашли абсолютно никаких признаков того, что наши системы использовались для атаки на других», — сказал представитель Microsoft.
ФБР и другие агентства запланировали секретный брифинг для членов Конгресса в пятницу.
Министерство энергетики США также заявило, что у них есть доказательства того, что хакеры получили доступ к их сетям в рамках масштабной кибератаки. Ранее Politico сообщала, что целью нападения стало Национальное управление ядерной безопасности, которое управляет запасами ядерного оружия страны.
Представитель Министерства энергетики заявила, что вредоносное ПО “было изолировано только для деловых сетей” и не повлияло на национальную безопасность США, включая АНБ.
Министерство внутренней безопасности заявило в бюллетене в четверг, что шпионы использовали и другие методы, помимо искажения обновлений программного обеспечения для управления сетью SolarWinds, которое используется сотнями тысяч компаний и правительственных учреждений.
“Компромисс в цепочке поставок SolarWinds Orion — не единственный первоначальный вектор заражения, который использовал этот способный субъект”, — говорится в заявлении Агентства кибербезопасности и инфраструктурной безопасности DHS, ссылаясь на “продвинутую постоянную угрозу” противников.
CISA призвала следователей не предполагать, что их организации были в безопасности, если они не использовали последние версии программного обеспечения SolarWinds, а также указала, что хакеры не использовали каждую сеть, к которой они получили доступ.
CISA заявила, что продолжает анализировать другие пути, используемые нападавшими. До сих пор хакеры, как известно, по крайней мере контролировали электронную почту или другие данные в департаментах обороны, государственного управления, казначейства, внутренней безопасности и торговли США.
Целых 18 000 клиентов Orion скачали обновления, которые содержали черный ход. С тех пор как кампания была раскрыта, компании-разработчики программного обеспечения отключили связь от этих задних дверей к компьютерам, обслуживаемым хакерами.
Но злоумышленники могли установить дополнительные способы поддержания доступа в том, что некоторые называют самым большим взломом за последнее десятилетие.
По этой причине официальные лица заявили, что группы безопасности должны общаться по специальным каналам, чтобы гарантировать, что их собственные усилия по обнаружению и восстановлению не контролируются.
Министерство юстиции, ФБР и Министерство обороны, в частности, перенесли рутинную связь на секретные сети, которые, как полагают, не были нарушены, по словам двух человек, проинформированных об этих мерах. Они предполагают, что неклассифицированные сети были доступны.
CISA и частные компании, включая FireEye, которая была первой, кто обнаружил и показал, что она была взломана, выпустили ряд подсказок для организаций, чтобы посмотреть, были ли они поражены.
Но злоумышленники очень осторожны и удалили журналы, электронные следы или файлы, к которым они обращались. Это затрудняет понимание того, что было взято.
Некоторые крупные компании выпустили тщательно сформулированные заявления, в которых говорится, что у них “нет доказательств” того, что они были проникнуты, но в некоторых случаях это может быть только потому, что доказательства были удалены.
В большинстве сетей злоумышленники также могли бы создавать ложные данные, но пока, похоже, они были заинтересованы только в получении реальных данных, говорили люди, отслеживающие зонды.
Тем временем члены Конгресса требуют больше информации о том, что и как могло быть взято, а также о том, кто за этим стоял. Комитет по внутренней безопасности Палаты Представителей и Комитет по надзору объявили о начале расследования в четверг, в то время как сенаторы настаивали на том, чтобы узнать, была ли получена индивидуальная налоговая информация.
В своем заявлении избранный президент Джо Байден заявил, что он “повысит кибербезопасность как императив для всего правительства” и “разрушит и удержит наших противников” от совершения таких крупных взломов.
Дополнительная информация от ITnews.
