Кибератака на SolarWinds могла произойти из-за халатности в самой компании

Брешь в информационной безопасности компании SolarWinds, чье программное обеспечение позволило группе хакеров проникнуть в сети многих госучреждений США, могла возникнуть задолго до этой атаки, 20 декабря сообщают «Известия».

По данным издания, еще в ноябре 2019 года независимый исследователь информационной безопасности из Индии Винот Кумар обнаружил на сайте GitHub в открытом доступе логин и пароль от сервера с файлами обновлений SolarWinds.

При этом специалисты компании использовали ненадежный пароль solarwinds123. Исследователь предупредил компанию о найденной уязвимости, однако входные данные от сервера по некоторым оценкам могли лежать в свободном доступе как минимум с июня 2018 года, и за это время кто угодно мог ими воспользоваться и загрузить свое вредоносное программное обеспечение на сервер обновлений компании.

Ситуация усугубляется тем, что сама компания рекомендовала своим пользователям отключать антивирус при скачивании и установке их программного обеспечения.

«Безусловно, если ключи доступа к системам SolarWinds были оставлены в незащищенном хранилище, то это сильно облегчило задачу хакеров. Злоумышленники смогли взломать Сеть и постепенно продвигаться по ней, тщательно маскируя активность», — пояснил руководитель направления аналитики и спецпроектов компании InfoWatch Андрей Арсентьев.

Он сравнил выкладывание в открытый доступ данных сервера с оставлением ключей от квартиры под ковриком во время поездки в отпуск.

По мнению независимого исследователя даркнета Олега Бахтадзе-Карнаухова, в таких условиях взлом Минфина США мог осуществить кто угодно, тут не требовалось каких-то особенных знаний.

Иное мнение высказал гендиректор компании «Аванпост» Андрей Конусов. Он считает, что, несмотря на фактически оставленное компанией SolarWinds приглашение через открытый сервер обновлений, по характеру атаки видно, что ее провели хорошо подготовленные люди, скорее всего из опытной хакерской группировки.

Кроме того, по данным Reuters, хакер из Казахстана с ником Fxmsp продавал пароли от серверов SolarWinds в даркнете еще в 2017 году.

Напомним, взлом программного обеспечения компании SolarWinds, чье ПО использовалось многими государственными ведомствами и крупными компаниями, сотрудничавшими с правительственными организациями, произошел марта по июнь 2020 года.

Компания FireEye, работающая в сфере информационной безопасности, недавно заявила о том, что злоумышленники, подменив файлы обновлений ПО SolarWinds, смогли разослать клиентам компании вредоносный код, дающий возможность удаленного доступа к их компьютерам.

По данным SolarWinds, вредоносное обновление скачали и установили 18 тысяч клиентов. Затронутыми оказались не менее 200 организаций, в том числе министерства энергетики, финансов, торговли и внутренней безопасности США.

Официальные лица США поспешили объявить эту кибератаку делом рук русских хакеров.