Главная Блог CEO Полдень. ХХІ столетие.
Блог CEO

Полдень. ХХІ столетие.

Автор: Андрей Михалюк, CEO CoreWin

Добрый вечер, Самураи! За новостями о пандемии и бессонными ночами за Киберпанком 2077 года многие из нас пропустили тот момент, когда мир разделился на ДО и ПОСЛЕ. Давайте погрузимся в то, что случилось 14 декабря 2020 года. Washington Post опубликовал статью с информацией от анонимного источника о деталях взлома правительственных заведений США. Что же произошло, почему мы 14 декабря проснулись уже в новом мире, и что делать дальше?

Коротко о том, что случилось. Есть такая группа российских хакеров – Cozy Bear, которая по мнению западных спецслужб работает под эгидой ФСБ РФ (это цитата из российской википедии). Некоторый перечень жертв известных успешных операций этого спецотряда:

  • Белый Дом
  • Государственный Департамент США
  • Пентагон
  • Правительство Норвегии
  • Выборы США (именно ТОТ инцидент)
  • Великобритания, США и Канада – похищенные данные о вакцине от Ковида

Думаю, очевидно, что это далеко не полный список. Так вот, по информации из анонимного источника, именно эта группа хакеров нашла уязвимость в программном обеспечении SolarWinds Orion. И благодаря этой уязвимости получили полный доступ к инфраструктуре клиентов этой системы. И здесь я имею в виду не просто возможность передать байт или два, не просто получить доступ в DMZ. Я имею в виду, что эти злоумышленники в штатском вкачивали сотни метров шпионского софта и выкачивали терабайты данных. То есть, чувствовали себя не менее вальяжно, чем sudo root superadmin пользователь. Как долго эта когорта бесславных шалила в корпоративных сетях, сказать сейчас не может никто. Эксперты говорят, что не менее полугода.

Почему мы об этом знаем? У каждой истории есть свой герой. Герой этой – Кевин Томпсон из FireEye. Именно FireEye оказывали услуги безопасности значительной части государственных учреждений США, и FireEye пользовались Orion. Случилось то, что произошло, а именно – Cozy Bear влезли и в них. Похитили данные и целый набор новых и даже засекреченных инструментов для взлома. FireEye использовали их в своей работе не для хакинга, а для усиления безопасности. Почему я называю его героем? Потому что благодаря волевому решению – мы знаем о случившемся. Компания сделала официальное заявление, признала, что ее взломали, и предоставила все детали.

Каков механизм этого взлома? Ниже краткая схема. Это схема практически первого уровня, так как получая доступ к данным юзеров системы, хакеры получали доступы к подрядчикам и клиентам этих юзеров. По сути, все началось с серверов обновления системы. Кстати, известный всем украинцам вирус Petya тоже был распространен именно таким образом, правда тогда пострадали и заражали всех серверы MEDoc. Широкой общественности неизвестно, кто стоял за той атакой, но украинские специалисты (и я в их числе) проводят четкую параллель между этой и той атакой. Почерк тот же.

По сути, атака происходила в таких этапах:

  • Получение доступа к серверам обновления SolarWinds Orion из-за уязвимости семейства SunBurst

  • Заражение пакетов обновлений вредоносным кодом, маскирующим подключение хакеров под подписью Orion (как раз тот самый бекдор)

  • Вход в системы зараженных пользователей и применение всего арсенала хакерских инструментов, используя подпись Orion для получения доверия посторонних систем

  • Скачивание полезных данных

  • Оставление других дверок, червей, настроек, которые позволят вернуться в любой момент

Чем отличается этот инцидент от сотен других? Думаю те, кто в теме, уже догадались:

Масштаб

Продолжительность

Скрытность

Даже сейчас мы не знаем, сколько пользователей были скомпрометированы, знаем только, что не менее 18 000. Мы не знаем, как долго длилась эта операция, знаем только, что не менее полугода, не знаем, что было сделано, что оставили после себя злоумышленники. Да о чем говорить! Даже сейчас вы можете читать эти строки через скомпрометированный ноутбук, и российский хакер через веб-камеру может смотреть на ваше удивленное лицо. Пробежал холодок по спине? Вот и оно.

Какие события развиваются последние дни. ФБР и АНБ открыли дела и начали официальное расследование. FireEye опубликовало список всех украденных инструментов. Хотя, по правде, оказалось, что большинство из них уже гуляли по просторам дарквеба, то есть их взломали не неделю назад, а ранее. Даже ваш покорный слуга нашел архивчик с определенным набором этих инструментов, поэтому можете быть уверены, что все сообщество киберпреступников уже вооружено тайными разработками американцев. Также опубликованы патчи и рекомендации на Гитхабе FireEye. Вот здесь. SolarWinds в свою очередь опубликовал обновление, которое, по их словам, закрыло уязвимость. Опубликовал и… закрылся, приняв обыски ФБР. Федеральные агентства США просто отключили все свои SolarWinds Orion. По стечению обстоятельств или нет, но 15 декабря ложились целые сервисы Google и множество других сервисов. Украина отреагировала предупреждением РНБО и… ну, собственно, все 🙂

Какую информацию откопал Интернет? Здесь ясно, что официальное расследование закончится нескоро. И даже когда закончится, непонятно, какая часть результатов будет засекречена. То есть правду об этих событиях человечество точно будет знать только через несколько поколений. Но в современном мире стоит привлечь внимание пользователей, так как многое становится известным.

Несколько фактов на подумать и посмеяться:

Что же делать?

А теперь к самому интересному – что делать с Solarigate (SolarWinds Watergate)? А никто не знает 🙂 И это самое ужасное. Сегодня понятно одно – решения этой ситуации нет. Есть очевидные пути защиты (будет совсем немного рекламы):

  1. Выключить Orion, если он есть
  2. Обновить его, а еще лучше – мигрировать на аналог, скажем на Motadata
  3. Принудительно провести проверку ПК и серверов, например, каким-либо антивирусом
  4. Проверить или поставить брандмауэры, например Untangle
  5. Провести сканирование локальной сети и веб-сайтов на уязвимости, к примеру, с помощью Acunetix или NetSparker
  6. Перенаправить доступы к критичным серверам через PAM, как вот ARCON
  7. Поставить DLP, например, Endpoint Protector, чтобы хакеры не украли хотя бы самую ценную информацию

А вообще, по-хорошему, следует составить план и:

  • сделать бекапы данных (не снимки систем, а именно бекапы данных, чтобы не резервировать вредоносный код)
  • снести сервисы, службы, системы
  • установить системы заново
  • восстановить данные из бекапа
  • повторно проверить уже восстановленную систему

А вот здесь у нормальных админов глаза полезли на лоб. И правильно, потому что это полный капец. Такой капец, что представить трудно. А придется его решать, не зря эксперты говорят, что мир (то есть самые крупные компании и организации) сможет закрыть последствия этой операции не раньше, чем через полгода.

Поэтому приветствую вас! Завтра уже наступило, наступило оно тайно, скрыто от глаз, но полностью и неотвратимо. Приветствую вас в новом кибермире, и пусть он пока выглядит немного апокалиптически, сейчас нам главное быстро и квалифицированно реагировать, чтобы выжить в нем.

Другие материалы по теме

insider threats

Полный гайд по управлению инсайдерскими рисками

11.03.2026
Browser DLP

Как рабочие процессы в браузере разрушают эффективность традиционного DLP

24.02.2026
Case Study Blocking Code Transfer to ChatGPT

Защита исходного кода и конфиденциальных данных при работе с ChatGPT и другими AI-чат-ботами с помощью Netwrix Endpoint Protector (DLP)

12.02.2026

Подписаться на новости

    Оставьте свои контакты, и мы с вами свяжемся