Взлом SolarWinds дал доступ к почте высокопоставленных сотрудников Минфина США

Bloomberg получил десятки страниц служебных меморандумов Минфина США по расследованию взлома SolarWinds. Документы описывают несанкционированный доступ к нескольким почтовым аккаунтам сотрудников, вызванный вредоносной программой, доставленной через авторизованного поставщика ПО. Речь идёт о кампании 2020 года, когда атакующие внедрили вредоносный код в обновления SolarWinds Orion — системы мониторинга, которую использовали госструктуры и крупные компании.

Официальная оценка США остаётся прежней: за большей частью связанных компрометаций стоял APT-актор, «вероятно российский по происхождению», а сама операция была разведывательной. Эту формулировку в январе 2021 года опубликовала объединённая группа FBI, CISA, ODNI и NSA. Ведомства указали, что речь идёт о сборе разведданных внутри государственных и частных сетей.

В материалах фигурирует кейс “Lazy Fortnite”: так в Минфине назвали проверку по поводу доступа к почтовым аккаунтам сотрудников. В ящиках высокопоставленных сотрудников могут быть цепочки согласований, календарные встречи, документы по санкциям, контакты банков, юридические позиции, обсуждения регуляторных решений и внутренние предупреждения. Даже без доступа к секретным системам такой массив даёт атакующим карту процессов: кто за что отвечает, кто с кем общается, какие темы идут в работу и где искать следующий вход.

Позднее федеральное расследование подтвердило поражение нескольких ведомств. GAO указывало, что SolarWinds Orion широко применялся в федеральном правительстве для мониторинга сетей и управления устройствами, а компрометация ПО позволила атакующему проникнуть в сети ряда агентств.

Злоумышленники не ломали каждую организацию отдельно. Они ударили по поставщику — SolarWinds — и добавили вредоносный код в обновления Orion. Клиенты скачивали обычное обновление от доверенного производителя, устанавливали его в свои сети и фактически открывали вход атакующим.

Такой подход называется атакой на цепочку поставок. В нормальной ситуации обновление мониторинговой системы считается безопасным: оно подписано поставщиком, приходит из привычного канала и устанавливается администраторами. В SolarWinds именно это доверие стало слабым местом. ODNI указывало, что около 18 000 государственных и частных пользователей скачали скомпрометированное обновление Orion, а последующие компрометации публично раскрыли девять федеральных агентств и около 100 частных компаний.

Дальнейший доступ развивали выборочно. Атакующие выбирали самые ценные цели и долго работали внутри их сетей.

В SolarWinds-кампании почта регулярно становилась конечной точкой атаки. Министерство юстиции США отдельно сообщало, что злоумышленники получили доступ к среде Microsoft O365 ведомства. Потенциально затронутыми оказались около 3% почтовых ящиков, признаков воздействия на секретные системы ведомство тогда не обнаружило.