Один из мировых лидеров на рынке кибербезопасности, компания FireEye заявила 13 декабря, что за взломом систем Минфина США и Национального управления по телекоммуникациям и информации (NTIA), а также самой FireEye на прошлой неделе стоит одна и та же группировка хакеров, пользующаяся государственной поддержкой. Более того, хакеры использовали для взлома одну и ту же уязвимость, а их кампания началась еще весной 2020 года и затронула как государственные, так и частные организации по всему миру.
Ранее СМИ, ссылаясь на собственные источники, утверждали, что за чередой хакерских атак стоит группировка APT29 (Cozy Bear), которую связывают с разведслужбами России. FireEye пока не называет ответственных за масштабную хакерскую кампанию, дав преступникам кодовое название UNC2452. А посольство России в США назвало обвинения в хакерских атаках на сети Минфина США и NTIA безосновательными.
Согласно отчету FireEye, для проведения столь масштабной атаки хакеры изначально взломали американского производителя программного обеспечения SolarWinds и внедрили вредоносное обновление в программу Orion, которой пользуются организации по всему миру для централизованного мониторинга и управления IT-ресурсами. Как только клиенты SolarWinds скачивали очередное обновление, хакеры получали доступ к сетям своих жертв.
«Среди жертв есть государственные, консалтинговые, технологические, телекоммуникационные и горнодобывающие компании в Северной Америке, Европе, Азии и на Ближнем Востоке. Мы ожидаем дополнительных жертв в других странах и сферах»,— говорится в сообщении FireEye. Среди них оказалась и Microsoft, которая обнаружила следы взлома также в воскресенье.
О том, как США отвергли инициативу Владимира Путина о сотрудничестве в сфере кибербезопасности,— в материале “Ъ” «Не более чем циничная и дешевая пропаганда».