Skip to main content

SolarWinds Orion: Το «μεγάλο χακάρισμα» των αμερικανικών κυβερνητικών υπηρεσιών

Μεγάλος αριθμός αμερικανικών κυβερνητικών υπηρεσιών στοχεύθηκαν σε μια εξελιγμένη κυβερνοεπίθεση- πίσω από την οποία πολλοί εκτιμούν ότι βρίσκονταν χάκερ της ρωσικής κυβέρνησης, κάτι το οποίο η ίδια αρνείται, χαρακτηρίζοντας τους ισχυρισμούς αυτούς ως αβάσιμους.
 
Τη Δευτέρα η SolarWinds επιβεβαίωσε πως το Orion – το λογισμικό διαχείρισης δικτύου που αποτελεί τη «ναυαρχίδα» της- είχε χρησιμοποιηθεί ως «κερκόπορτα» για μια μεγάλης κλίμακας επιχείρηση κυβερνοκατασκοπείας. Οι χάκερ είχαν εισάγει κακόβουλο κώδικα στα software updates του, φτάνοντας έτσι σε περίπου 18.000 πελάτες- μεταξύ των οποίων αμερικανικές κυβερνητικές υπηρεσίες, όπως τα αμερικανικά υπουργεία Οικονομικών και Εμπορίου.
 
Η SolarWinds, με έδρα στο Τέξας, κατέχει ιδιαίτερα ισχυρή θέση στον κλάδο της. Όπως αναφέρει το Reuters, δύο μήνες πριν ο διευθύνων σύμβουλος της εταιρείας, Κέβιν Τόμσον, έλεγε πως δεν υπήρχε βάση δεδομένων ή IT deployment μοντέλο όπου η εταιρεία του δεν παρείχε κάποιο επίπεδο επιτήρησης ή διαχείρισης: «Δεν πιστεύουμε πως οποιοσδήποτε άλλος στην αγορά είναι πραγματικά κοντά στο εύρος κάλυψης που έχουμε…διαχειριζόμαστε τον εξοπλισμό δικτύου ολωνών».
 
Η θέση αυτή φαίνεται πως αποτέλεσε και την «αχίλλειο πτέρνα» της εταιρείας, υποδεικνύοντας πώς το λογισμικό που βοηθά στη σωστή λειτουργία τεράστιων οργανισμών μπορεί να αποτελέσει κίνδυνο όταν υπονομευτεί από χάκερ.
 
Τρία άτομα ενήμερα για την έρευνα είπα στο Reuters πως κορυφαίος ύποπτος θεωρείται η Ρωσία, αν και άλλοι είπαν ότι είναι ακόμα πολύ νωρίς. Ειδικοί κυβερνοασφαλείας προσπαθούν ακόμα να εκτιμήσουν την έκταση της ζημιάς.
 
Τα κακόβουλα updates εστάλησαν μεταξύ Μαρτίου και Ιουνίου, κατά τη διάρκεια του πρώτου κύματος της πανδημίας. Ειδικοί θεωρούν πως ενδεχομένως να χρειαστούν μήνες για την πλήρη αξιολόγηση των επιπτώσεων, ωστόσο η SolarWinds επηρεάστηκε άμεσα, καθώς Αμερικανοί αξιωματούχοι διέταξαν όποιον χρησιμοποιούσε το Orion να αποσυνδεθεί άμεσα. Η μετοχή της εταιρείας έπεσε πάνω από 23% στο διάστημα από την Παρασκευή μέχρι την Τρίτη, ενώ η ασφάλεια της SolarWinds διερευνάται εκτενώς. Αξίζει να σημειωθεί πως, σύμφωνα με κάποιους ερευνητές, στο παρελθόν κυβερνοεγκληματίες είχαν προσφέρει προς πώληση πρόσβαση στους υπολογιστές της σε «underground» forums στο Διαδίκτυο. Ένας εξ αυτών, σύμφωνα με τον Μαρκ Αρένα, διευθύνοντα σύμβουλο της εταιρείας cybercrime intelligence Intel471, καταζητείται από το FBΙ. Επίσης, ο ερευνητής ασφαλείας Βινόθ Κουμάρ είπε στο Reuters ότι πέρυσι είχε ενημερώσει την εταιρεία πως ο οποιοσδήποτε μπορούσε να έχει πρόσβαση στον update server της εταιρείας χρησιμοποιώντας τον κωδικό «solarwinds123». Ωστόσο δε θεωρείται πως αυτές ήταν οι πηγές του παρόντος χακαρίσματος.
 
Όσον αφορά στις επιπτώσεις της παραβίασης, όπως αναφέρει το BBC, η λίστα των αμερικανικών υπηρεσιών που στοχεύθηκαν φαίνεται να μεγαλώνει, συμπεριλαμβάνοντας και τα υπουργεία Εσωτερικής Ασφαλείας, Εξωτερικών και Άμυνας. Είναι ασαφές ακόμα τι είδους πληροφορίες εκλάπησαν ή εκτέθηκαν, ωστόσο οι δράστες παρακολουθούσαν δίκτυα από τον Μάρτιο και ήταν ενεργοί μέχρι και την Κυριακή, όπως έγραψε η Washington Post.
 
Την κυβερνοεπίθεση είχε αποκαλύψει πρώτα το Reuters, αναφέροντας παραβιάσεις στα υπουργεία Οικονομικών και Εσωτερικής Ασφαλείας, ενώ οι NY Times έγραψαν ότι παραβιάστηκαν και τμήματα του υπουργείου Άμυνας. Σύμφωνα με την Washington Post, επηρεάστηκαν και το υπουργείο Εξωτερικών, καθώς και τα National Institutes of Health.
 
To λογισμικό Orion της SolarWinds επιτρέπει σε προσωπικό ΙΤ να έχει πρόσβαση εξ αποστάσεως σε υπολογιστές εταιρικών δικτύων. Οι χάκερ απέκτησαν πρόσβαση σε αυτό μέσω μιας «supply-chain attack» και μετά είχαν πρόσβαση στα δίκτυα των πελατών. Οι δράστες «πείραξαν» τα software updates έτσι ώστε να περιλαμβάνουν κακόβουλο λογισμικό, το οποίο, αφού εγκατασταθεί, επιτρέπει στους χάκερ να παρακολουθούν τα συστήματα του πελάτη, σύμφωνα με την εταιρεία ασφαλείας FireEye- η οποία πρόσφατα χακαρίστηκε επίσης.