Yhdysvalloissa on tutkittu SolarWinds-yhtiön järjestelmiin kohdistunutta harvinaisen vakavaa tietomurtoa.
Wall Street Journal -lehden mukaan iskun laajuus ja kehittyneisyys yllätti jopa kokeneet amerikkalaiset tietoturva-asiantuntijat ja paljasti ”mahdollisesti kriittisiä” aukkoja maan teknologisessa infrastruktuurissa.
Hyökkäyksen tekijäksi on epäilty valtiollista toimijaa, todennäköisesti Venäjää. Ainakin kaksi alustaviin selvityksiin perehtynyttä senaattoria on jo puhunut avoimesti ”Venäjän operaatiosta”.
Venäjän Yhdysvaltain-suurlähetystö on kiistänyt maahan kohdistuvat epäilyt ja todennut, ettei maa harjoita hyökkäyksellistä kybertoimintaa.
Tähän mennessä tehtyjen selvitysten mukaan hyökkäys altisti jopa 18 000 eri yhtiötä ja julkista toimijaa. Operaation arvellaan olleen osa laajaa ja havaitsematta jäänyttä kybervakoiluhanketta, joka on voinut jatkua jo useiden vuosien ajan.
Hakkerit käyttivät uusia työkaluja, jotka kohdistettiin Orion-verkkohallintaohjelmistoon. SolarWinds jakaa ohjelmistojensa päivityksiä kaikille asiakkailleen, joten sen järjestelmiin tunkeutuminen altisti uhrit maalis–kesäkuun välillä. Noin 18 000 asiakkaalle latautuneita päivityksiä käytettiin sähköpostien ja muiden tietojärjestelmien urkkimiseen.
Uhreja myös Euroopassa
Yhdysvaltain kyberturvallisuusviraston mukaan iskussa hyödynnettiin myös muita ohjelmistovirheitä ja tietoturva-aukkoja. BBC:n mukaan valtion virastoille, yrityksille ja kriittisen infrastruktuurin toimijoille aiheutunut uhka arvioidaan vakavaksi.
Maan energiavirasto ilmoitti torstaina, että myös sen järjestelmiin oli tunkeuduttu. Tiedottajan mukaan murto ei silti koskenut ydinturvallisuushallintoa.
Arvioiden mukaan 80 prosenttia SolarWindsin altistuneista asiakkaista oli Yhdysvalloissa ja loput muun muassa Britanniassa, Kanadassa, Meksikossa, Belgiassa, Espanjassa, Israelissa ja Arabiemiraateissa.
Tietoturva-alan Cyber Threat Alliancen johtaja Michael Daniel arvioi vahinkojen selvittämisen ja korjaamisen vievän vielä paljon aikaa ja rahaa.
– Hyökkäys oli mittakaavaltaan hyvin laaja ja potentiaalisesti erittäin tuhoisa taloudelliselle turvallisuudellemme, Michael Daniel sanoo.
This campaign involved long-term planning, significant resources, and lots of patience. The precise, careful tradecraft and attention to detail reveal both technical and organizational sophistication.
— J. Michael Daniel (@CyAlliancePrez) December 14, 2020
🚨 ACTIVITY ALERT 🚨
Review @CISAgov’s new Alert on the #APT campaign against federal agencies & critical infrastructure, providing updated affected product versions, IOCs, ATT&CK® techniques, and mitigation steps. https://t.co/ZgzAbUNKjL #Cyber #Cybersecurity #Infosec pic.twitter.com/QnntuVhUXb— US-CERT (@USCERT_gov) December 17, 2020