SolarWinds

Министерство юстиции США присоединилось к списку федеральных ведомств, ставших жертвами уязвимости в платформе управления сетью SolarWinds Orion.

«24 декабря 2020 года офис главного информационного директора (OCIO) Министерства юстиции узнал о ранее неизвестной вредоносной активности, связанной с глобальным инцидентом SolarWinds, который затронул, в частности, несколько федеральных агентств и технологических подрядчиков». говорится в сообщении ведомства. «Эта деятельность предусматривала доступ к почтовой среде Microsoft O365 Департамента.

«Узнав о злонамеренной активности, OCIO устранил идентифицированный метод, с помощью которого злоумышленник получал доступ к среде электронной почты O365. На данный момент количество потенциально доступных почтовых ящиков O365 ограничено примерно тремя процентами, и у нас нет никаких свидетельств того, что какие-либо секретные системы были затронуты».

Согласно федеральному закону для государственных систем, это считается «серьезным инцидентом», — говорится в заявлении.

Кроме того, Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) также предупредило в среду, что рассматривает возможность того, что злоумышленник, связанный с недавними инцидентами, не только использовал Orion в качестве точки входа, но и злоупотреблял токенами языка разметки утверждений безопасности (SAML). «CISA продолжает работу по подтверждению исходных векторов доступа и выявлению любых изменений в тактике, методах и процедурах (ДТС)», — говорится в заявлении.

Есть случаи, когда первоначальный доступ был получен путем подбора пароля, распыления пароля и ненадлежащим образом защищенных учетных данных администратора, доступных через внешние службы удаленного доступа.

С тех пор, как в декабре стало известно о его использовании в кибератаках, следователи обнаружили в Орионе две уязвимости. Неясно, несет ли один и тот же злоумышленник ответственность за обоих. Ранее на этой неделе четыре правоохранительных и спецслужб США заявили, что субъект повышенной постоянной угрозы (APT), «вероятно, российский по происхождению», несет ответственность за большую часть или все недавно обнаруженные и продолжающиеся кибер-компромиссы как правительственных, так и неправительственных сетей.

Федеральные ведомства США, которые публично признали, что подвержены уязвимостям Orion, включают казначейство, торговлю, здравоохранение, национальную безопасность, энергетику, Кибербезопасность и Агентство инфраструктуры, Государственное управление и Национальное управление ядерной безопасности. По данным ZDNet, пострадали также правительства трех штатов, а также город Остин, штат Техас, и ряд технологических компаний, включая Microsoft и Cisco Systems.

Войдите в JetBrains

Также проводится расследование после нескольких новостных сообщений о том, что программное обеспечение от технологической компании из Чешской Республики под названием JetBrains, которая производит широко используемый инструмент разработки программного обеспечения под названием TeamCity, могло быть использовано для проникновения в инфраструктуру SolarWinds или использовалось отдельно для атакуют организации. В статье в New York Times отмечается, что у JetBrains есть научно-исследовательская лаборатория в России. Один из ее клиентов — SolarWinds.

В заявлении генерального директора JetBrains Максима Шафирова говорится, что его компания «никоим образом не участвовала и не участвовала в этой атаке. SolarWinds является одним из наших клиентов и использует TeamCity, систему непрерывной интеграции и развертывания, используемую как часть разработки программного обеспечения. SolarWinds не связывался с нами и не сообщал никаких подробностей относительно нарушения, и единственная имеющаяся у нас информация — это то, что стало общедоступным. Важно подчеркнуть, что TeamCity — сложный продукт, требующий правильной настройки. Если TeamCity каким-то образом использовалась в этом процессе, это вполне могло быть связано с неправильной конфигурацией, а не с конкретной уязвимостью».

Он добавил, что с JetBrains не связывалось ни одно правительство или агентство безопасности по поводу недавних кибератак.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

GPD ХОСТИНГ КОНТАКТЫ
GPD ХОСТИНГ СОЦ.СЕТИ
МЕТОДЫ ОПЛАТЫ