Хакеры имели доступ к электронной почте SolarWinds как минимум 9 месяцев

Генеральный директор компании SolarWinds Судхакар Рамакришна сообщил, что финансируемая правительством неизвестной страны киберпреступная группировка, ответственная за атаку на цепочку поставок компании, как минимум девять месяцев имела доступ к электронной почте SolarWinds.

«Хакеры получили доступ по крайней мере к одной из учетных записей электронной почты Office 365 еще в декабре 2019 года, а затем перешли к компрометации других учетных записей Office 365 в компании», — приводит слова Рамакришны издание The Washington Post.

Напомним, киберпреступники еще в 2019 году осуществили пробную атаку , чтобы протестировать свои возможности. Они начали распространять сторонние файлы из сетей SolarWinds еще в октябре 2019 года – за пять месяцев до того, как жертвы загрузили вредоносные обновления для платформы Orion. Эти файлы рассылались 10 октября и не содержали никаких бэкдоров.

Также стало известно, что предположительно китайская хакерская группировка взломала компьютерные системы ряда американских ведомств, используя еще одну уязвимость в ПО SolarWinds. Злоумышленники скомпрометировали сеть Национального финансового центра (NFC) при Министерстве сельского хозяйства США, занимающегося в том числе обработкой ведомостей о зарплате сотрудников более сотни американских госорганов. Записи, находящиеся в ведении NFC, содержат различные сведения, в том числе номера социального страхования сотрудников федеральных агентств, номера телефонов, адреса личной электронной почты и банковские данные.

Уязвимость не связана с багом, использованным для компрометации клиентов SolarWinds в прошлогодних атаках, в организации которых заподозрены предположительно российские хакеры. Атакующие использовали компьютерную инфраструктуру и инструменты, ранее выявленные в кампаниях китайских кибершпионов.

Как показали результаты расследования, две хакерские группировки осуществляли операции примерно в один и тот же период, однако они преследовали разные цели. В то время как предполагаемые «русские хакеры» внедрили бэкдор в обновления SolarWinds Orion, вторая группировка использовала отдельную уязвимость для распространения по уже скомпрометированным сетям.