A Microsoft elnöke februárban a valaha volt legnagyobb és legkifinomultabb támadásnak nevezte azt a hosszú hónapokig észrevétlenül zajló kampányt, amelynek nyomait a múlt év végén fedezték fel az Egyesült Államokban. A vizsgálatok szerint orosz állami háttérrel működő hekkerek akkor a SolarWinds IT-megoldásszállító szoftverének frissítésébe rejtett károkozóval operáltak, ezen keresztül pedig 18 ezer különböző szervezetet rendszereibe helyezhettek el olyan hátsó kapukat, amelyeken keresztül folyamatosan aktívak lehettek.

A dolognak még nagyobb súlyt ad, hogy a SolarWinds ügyfelei között amerikai kormányzati ügynökségek, a hadsereg, a nemzetbiztonsági szolgáltatok és a USA tíz legnagyobb telekommunikációs szolgáltatója is megtalálható volt. Kiderült, hogy a támadók mások mellett hozzáférhettek a Microsoft bizonyos termékeinek forráskódjához is, bár a társaság szerint semmi nem utal arra, hogy ennek révén szolgáltatások vagy ügyféladatok komprommittálódtak volna.

A sorozat most egy újabb jelenettel folytatódik: június végén megint a Microsoft bejelentéséből derült ki, hogy egy nulladik napi sérülékenységet kihasználva támadás érte a SolarWinds Serv-U FTP szoftverét. A Microsoft Threat Intelligence Center (MSTIC) szerint ezúttal korlátozott és célzott akciókról volt szó, a vállalat fenyegetés-felderítő részlege pedig nagy bizonyossággal állítja, hogy a kampány mögött az általuk DEV-0322-nek nevezett, Kínában működő csoport áll.

Ma már futószalagon jön az ilyesmi

A Microsoft tegnap közölt részleteket az újabb támadásról, amelyekből kiderül, hogy a célpontok, az alkalmazott módszerek és eljárások mind erre a szereplőre utalnak, amely egyébként is az amerikai védelmi ipart és szoftvergyártókat célozza, és a támadó infrastruktúrában is előszeretettel alkalmaz kereskedelmi VPN-megoldásokat és kompromittált végfelhasználói útválasztókat. Ez utóbbi megint felhívja rá a figyelmet, hogy az ilyen eszközök gyártói sokszor kezelik lazán a biztonsági szempontokat. Ők maguk sem mindig könnyítik meg a gépek megfelelő frissítését, azok az internetszolgáltatók pedig, amelyek gyakran biztosítanak ilyen eszközöket az előfizetőiknek, hasonlóan lazán bánnak a szükséges frissítésekről szóló tájékoztatással.

Hogy az oroszok után most a kínaiak bukkantak fel a SolarWinds körül, az annyiban érdekes, hogy az USA és Kína elvileg már hosszú ideje aláírt egy olyan no-hack megállapodást, amelyet Oroszország csak 2020 végén ajánlott fel az amerikaiaknak. Más kérdés, hogy ez a gyakorlatban mennyit ér: bár korábban arról lehetett olvasni, hogy a szerződés nyomán visszaestek a Kínából származó támadások az amerikai célpontok ellen, 2018-ban az Egyesült Államok már hivatalosan is azzal vádolta Kínát, hogy megszegte a paktumot.

Ma már mindenkinek nyilvánvaló, hogy a világjárvánnyal párhuzamosan a kiberbiztonság is átértékelődik az olyan kiterjedt és súlyos támadásokkal, mint a már említet a SolarWinds-incidens, a Colonial Pipeline elleni ransomware támadás, a világ legnagyobb húsipari vállalatának megbénítása, vagy nemrég a Kaseya informatikai szállító VSA távmenedzsment és -monitoring eszközén keresztül végrehajtott akció. Ahogy hétfőn beszámoltunk róla, a Microsoft egy hónapon belül már a második cégfelvásárlást jelentette be ezen a területen, hogy termékszinten is megerősítse saját IT-biztonsági képességeit.