Китайские хакеры используют SolarWinds для кражи федеральной информации о заработной плате: отчет

кем Алекс Юсташевич
0 комментировать
0

Подозреваемые китайские хакеры воспользовались еще одна уязвимость программного обеспечения SolarWinds для взлома компьютеров в Национальном финансовом центре и других правительственных учреждениях США, сообщает Reuters.

Следователи ФБР недавно обнаружили, что Национальный финансовый центр – федеральное агентство по расчету заработной платы в Министерстве сельского хозяйства США – было среди агентств, пострадавших от китайского взлома SolarWinds, который также произошел в прошлом году, сообщает Reuters со ссылкой на людей, знакомых с этим вопросом. По заявлению Reuters, следователи опасаются, что данные о тысячах государственных служащих могли быть скомпрометированы в результате атаки.

По данным Reuters, хакеры использовали компьютерную инфраструктуру и хакерские инструменты, которые ранее использовались поддерживаемыми государством китайскими кибершпионами. В частности, агентство Reuters сообщило, что подозреваемая китайская группа использовала брешь в коде Orion, чтобы распространиться по сетям, которые они уже взломали. Как сообщили Reuters бывшие официальные лица правительства США, потенциальные последствия этой атаки могут быть «огромными».

SolarWinds сообщила CRN, что сеть клиента была взломана способом, не связанным с самой компанией, добавив, что нет никаких оснований полагать, что злоумышленники когда-либо находились внутри среды SolarWinds. Нарушение, описанное Reuters, позволило атаке добавить вредоносный код Supernova к программному обеспечению Orion в сети клиента, и SolarWinds заявила, что знает об одном случае этого.

“Это отдельно от широкой и сложной атаки это нацелено на несколько компаний-разработчиков программного обеспечения в качестве векторов », – говорится в заявлении SolarWinds для CRN.

Представитель Министерства сельского хозяйства подтвердил Reuters, что произошла утечка данных, и сказал, что все лица и организации, чьи данные были затронуты, были уведомлены. ФБР отклонило запрос Reuters о комментариях, в то время как министерство иностранных дел Китая заявило агентству Reuters, что приписывание кибератак является «сложной технической проблемой», и заявило, что любые обвинения должны подтверждаться доказательствами.

ФБР и Министерство сельского хозяйства США не сразу ответили на запросы CRN о комментариях. Исследователи в области безопасности ранее заявляли, что вторая группа хакеров злоупотребляла программным обеспечением SolarWinds в то же время, когда российские хакеры атаковали компанию, но агентство Reuters во вторник стал первым, кто сообщил о предполагаемой связи с Китаем и последующем нарушении федерального законодательства.

Связь между второй серией атак на клиентов SolarWinds и предполагаемыми китайскими хакерами была обнаружена только в последние недели, сообщили Reuters аналитики безопасности, проводившие расследование вместе с правительством США. Агентство Reuters заявило, что не смогло определить, какую информацию хакеры смогли украсть из Национального финансового центра или насколько глубоко они проникли в системы агентства.

Кроме того, агентство Reuters заявило, что не смогло установить, сколько организаций было скомпрометировано предполагаемой операцией Китая за пределами Национального финансового центра. Национальный финансовый центр отвечает за обработку платежных ведомостей нескольких правительственных агентств, в том числе нескольких, занимающихся вопросами национальной безопасности, таких как ФБР и министерства внутренней безопасности, государства и казначейства США.

По данным Reuters, записи, хранящиеся в Национальном финансовом центре, включают номера социального страхования федеральных служащих, номера телефонов, личные адреса электронной почты и банковскую информацию. Национальный финансовый центр обслуживает более 160 различных агентств, предоставляя услуги по расчету заработной платы более чем 600 000 федеральным служащим, согласно веб-сайту организации.

Генеральный директор FireEye Кевин Мандиа сказал, что подобные атаки становятся все более обычным явлением и продолжатся в обозримом будущем.

«Это просто похоже на все другие нарушения, о которых мы собираемся прочитать. [where] субъекты угроз могут действовать без риска или последствий », – сказала Мандия CRN. «В этом году они воспользовались преимуществами SolarWinds с имплантатом, возможно, уязвимым. В следующем году это будет какое-то другое приложение или много приложений ».

Оставить коментарий