Η Microsoft ανακοίνωσε την Πέμπτη πως βρήκε κακόβουλο λογισμικό στα συστήματά της που σχετιζόταν με μια μεγάλη εκστρατεία hacking η οποία αποκαλύφθηκε από Αμερικανούς αξιωματούχους αυτή την εβδομάδα, με έναν μεγάλο στόχο από τον χώρο της τεχνολογίας να προστίθεται στην αυξανόμενη λίστα των κυβερνητικών υπηρεσιών που δέχτηκαν επίθεση.
Ο αμερικανικός κολοσσός είναι μεταξύ των χρηστών του Orion, του ευρέως χρησιμοποιούμενου λογισμικού διαχείρισης δικτύου από τη SolarWinds Corp που χρησιμοποιήθηκε στις επιθέσεις, οι οποίες αποδίδονται σε Ρώσους χάκερ, ενάντια σε ζωτικής σημασίας αμερικανικής υπηρεσίες και άλλους στόχους. Επίσης, προϊόντα της Microsoft αξιοποιήθηκαν για σκοπούς στόχευσης θυμάτων, είπαν άτομα ενήμερα για το θέμα. Η NSA έβγαλε μια σπάνια σύσταση κυβερνοασφαλείας (cybersecurity advisory) την Πέμπτη όπου περιγραφόταν πώς συγκεκριμένες υπηρεσίες cloud του Microsoft Azure μπορεί να παραβιάστηκαν από χάκερ και δίνονταν οδηγίες σε χάκερ για να κλείσουν τα συστήματά τους.
«Όπως και άλλοι πελάτες της SolarWinds, αναζητούμε ενεργά ενδείξεις αυτού του δράστη και μπορούμε να επιβεβαιώσουμε ότι εντοπίσαμε κακόβουλα δυαδικά αρχεία της SolarWinds στο περιβάλλον μας, που απομονώσαμε και αφαιρέσαμε» είπε εκπρόσωπος της Microsoft, προσθέτοντας ότι η εταιρεία δεν είχε βρει ενδείξεις πως τα συστήματά της χρησιμοποιήθηκαν για επιθέσεις.
Μία από τις ενημερωμένες για το θέμα πηγές ανέφερε ότι οι χάκερ χρησιμοποίησαν τις προσφορές cloud της Microsoft ενώ παράλληλα απέφευγαν τις εταιρικές υποδομές της Microsoft. Ωστόσο, άλλη πηγή είπε πως το υπουργείο Εσωτερικής Ασφαλείας δεν θεωρεί πως η Microsoft ήταν κεντρική οδός για νέες μολύνσεις.
Τόσο η Microsoft όσο και το υπουργείο, που νωρίτερα την Πέμπτη είχε πει ότι οι χάκερ χρησιμοποίησαν πολλαπλές μεθόδους εισόδου, συνεχίζουν τις έρευνές τους, ενώ το FBI και άλλες υπηρεσίες είχαν προγραμματίσει ενημέρωση για τα μέλη του Κογκρέσου την Παρασκευή.
To αμερικανικό υπουργείο Ενέργειας ανέφερε πως είχε στοιχεία ότι χάκερ απέκτησαν πρόσβαση στα δίκτυά του στο πλαίσιο της συγκεκριμένης επιχείρησης. Το Politico είχε αναφέρει νωρίτερα πως η NNSA (National Nuclear Security Administration), η οποία διαχειρίζεται τα αποθέματα πυρηνικών όπλων της χώρας, στοχεύτηκε επίσης.
Εκπρόσωπος του υπουργείου Ενέργειας είπε πως κακόβουλο λογισμικό «απομονώθηκε σε επιχειρηματικά δίκτυα και μόνο» και δεν επηρέασε την εθνική ασφάλεια, περιλαμβανομένης της NNSA.
Το υπουργείο Εσωτερικής Ασφαλείας ανακοίνωσε την Πέμπτη πως οι χάκερ είχαν χρησιμοποιήσει και άλλες τεχνικές, πέρα από την παραποίηση updates στο λογισμικό διαχείρισης δικτύων της SolarWinds, που χρησιμοποιείται από εκατοντάδες χιλιάδες εταιρείες και κυβερνητικές υπηρεσίες. Η CISA (Cybersecurity and Infrastructure Security Agency) σύστησε στους ερευνητές να μη θεωρούν πως οι οργανισμοί του ήταν ασφαλείς εάν δεν χρησιμοποιούν πρόσφατες εκδόσεις του λογισμικού της SolarWinds, υποδεικνύοντας επίσης πως οι χάκερ δεν εκμεταλλεύτηκαν κάθε δίκτυο στο οποίο απέκτησαν πρόσβαση.
Η CISA ανέφερε πως συνεχίζει να αναλύει τις άλλες οδούς που χρησιμοποίησαν οι δράστες. Μέχρι τώρα, έχει γίνει γνωστό πως παρακολουθούσαν τουλάχιστον email ή άλλα δεδομένα στα αμερικανικά υπουργεία Άμυνας, Εξωτερικών, Οικονομικών, Εσωτερικής Ασφαλείας και Εμπορίου.
Μέχρι και 18.000 χρήστες του Orion κατέβασαν τα updates που περιείχαν ένα «back door», ανέφερε η SolarWinds. Από τότε που ανακαλύφθηκε η εν λόγω επιχείρηση, εταιρείες λογισμικού έχουν αποκόψει τις επικοινωνίες από αυτά τα backdoors στους υπολογιστές των χάκερ. Ωστόσο θεωρείται ότι οι δράστες μπορεί να εγκατέστησαν επιπλέον τρόπους διατήρησης πρόσβασης, ανέφερε η CISA, σε κάτι που έχει χαρακτηριστεί ως το μεγαλύτερο «χακάρισμα» της δεκαετίας.
(με πληροφορίες από Reuters)