Взлом века

Атака на крупнейшего на тот момент американского поставщика ПО SolarWinds, раскрытая в конце 2020 года, стала одним из самых масштабных и показательных киберинцидентов в истории. Эксперты сходятся во мнении: речь шла не просто о взломе отдельной компании, а о системной атаке на доверие — к программному обеспечению, поставщикам и самим принципам цифровой безопасности.

Выйти из полноэкранного режима

Развернуть на весь экран

Кейс SolarWinds — не просто крупный инцидент, а поворотный момент в истории кибербезопасности, говорит аналитик центра мониторинга ИБ «Спикател» Даниил Глушаков. Он продемонстрировал «в полный рост» опасность атак на цепочку поставок, после чего многие государства стали воспринимать такие угрозы как вопросы национальной безопасности. По его словам, злоумышленники пошли нетипичным путем: «вместо того чтобы взламывать каждую компанию-жертву, злоумышленники проникли в процессы разработки и сборки ПО SolarWinds и внедрили вредоносный код в обновление продукта Orion — системы управления и мониторинга сетевой инфраструктуры». В результате клиенты SolarWinds, сами того не подозревая, загружали в свои системы вирус, встроенный в легальное обновление продукта от доверенного и признанного надежным поставщика ПО.

Атака на SolarWinds примечательна по целому ряду причин, включая ее скрытность, таргетированность и специально разработанное злоумышленниками вредоносное ПО, бэкдор Sunburst, который был внедрен в легитимные обновления Orion в результате компрометации IT-поставщика, говорит руководитель Kaspersky GReAT в России Дмитрий Галов. По его словам, вредоносный код тщательно маскировался под обычный сетевой трафик и использовал доверенную инфраструктуру, что существенно усложнило его обнаружение, а в ходе анализа специалисты обнаружили, что его код был во многом похож на бэкдор Kazuar из инструментария хакерской группы Turla.

По словам господина Глушакова, масштаб распространения оказался беспрецедентным: на момент атаки у компании было более 300 тыс. клиентов в 190 странах, включая крупнейшие предприятия и госструктуры США. Системы примерно 18 тыс. клиентов, включая государственные и частные организации, могли быть скомпрометированы, уточняет он. Однако «злоумышленники задействовали лишь ограниченное число жертв для дальнейшей активности, оставаясь незамеченными в течение нескольких месяцев»,— уточнил господин Галов. Реально было атаковано около 50 организаций, на которых злоумышленники сосредоточили свои усилия», добавил Даниил Глушаков.

Реальный ущерб понесли менее 100 организаций — именно столько стало целями хакеров, по оценке самой SolarWinds, напоминает заместитель директора Servicepipe Даниил Щербаков. Среди жертв — Министерство финансов США, Минторговли, Минобороны, а также ряд крупных компаний, которые подтвердили установку зараженного обновления, включая Microsoft, Cisco, Intel и Deloitte.

Оценка ущерба в деньгах до сих пор остается предметом дискуссий. Финансовый ущерб, по разным оценкам, может исчисляться десятками миллиардов долларов, если учитывать как прямые издержки по восстановлению, так и долгосрочные последствия утечек данных и репутационных потерь, говорит Даниил Глушаков. Точную оценку ущерба дать сложно — большая часть данных до сих пор засекречена, хотя страховые компании оценивали потенциальные выплаты только по киберстрахованию минимум в $90 миллионов, а реальные потери кратно выше, говорит Щербаков: сюда входят затраты на расследование, восстановление систем, репутационный ущерб и потенциальная кража государственных секретов.

За атакой стояла высокоподготовленная APT-группировка, говорит руководитель группы киберразведки Positive Technologies Алексей Банников. Вредонос находился с марта по декабрь 2020 года в доверенном, подписанном обновлении и работал «тихо», с задержкой, имитируя легитимный трафик для максимальной скрытности и длительного присутствия в зараженной системе, уточнил он.

Одной из ключевых загадок атаки стало то, почему компрометация оставалась незамеченной почти девять месяцев. Как объясняет господин Глушаков, главная причина, по которой компрометация не была обнаружена столь долгое время — это метод внедрения. По его словам, атака не выглядела как внешнее вторжение — она была встроена в полностью легитимное обновление, подписанное цифровой подписью SolarWinds, что делало ее невидимой для стандартных средств защиты. Антивирусы и системы мониторинга не могли отличить вредоносный код от законного ПО, подчеркивает он.

Щербаков подчеркивает, что проблема была не в слабости госструктур, а в самой природе атаки: хакеры не взламывали напрямую Минфин или Пентагон, они скомпрометировали доверенного поставщика ПО, который имел легитимный доступ к их сетям. «Orion по определению имеет широкие полномочия, а вредонос был спроектирован так, чтобы „спать“ до двух недель после установки, маскироваться под легитимные процессы Orion и использовать легитимные домены для связи с командными серверами», – уточнил собеседник.

Эксперты сходятся во мнении, что именно после SolarWinds отношение государств к киберугрозам радикально изменилось. Банников отмечает, что случай с SolarWinds стал переломным моментом: «киберугрозы окончательно признали элементом национальной безопасности, а не просто IT-проблемой». В мае 2021 года в США был принят Executive Order on Improving the Nation's Cybersecurity (Исполнительный указ «Об улучшении кибербезопасности страны» ), который обязал федеральные агентства внедрять zero-trust (с нулевым доверием) архитектуру, Software Bill of Materials (SBOM), многофакторную аутентификацию, напомнил господин Щербаков. По его словам, рынок кибербезопасности «резко переориентировался», а компании начали требовать от поставщиков прозрачность цепочки поставок.

Подобный сценарий абсолютно реалистичен для любых современных вендоров, отмечает руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин. Сегодняшняя разработка повсеместно опирается на компоненты с открытым исходным кодом, что дает злоумышленникам вектор для заражения сразу множества продуктов, а значит, и множества клиентов, продолжает он. Атаки на цепочки поставок с каждым годом становятся все изощреннее и встречаются все чаще, а защита от них требует в первую очередь применения принципа нулевого доверия (zero trust), резюмировал он.

Мария Орбелиани