Skoči na vsebino

SolarWinds vdor

SolarWinds Orion je platforma za upravljanje z IKT sredstvi, ki jo med drugim uporabljajo Fortune 500 podjetja in veliko državnih ustanov. Marca 2020 je prišlo do vdora v podjetje, med katerim so storilci namestili stranska vrata v Orion, podjetje pa je to zlonamerno komponento nevede “porinilo” naprej svojim strankam skozi cikle rednih nadgradenj. Kot kaže, je to omogočilo nadaljnje vdore v eno od vodilnih podjetij na področju kibernetske varnosti FireEye in celo v Ministrstvo za domovinsko varnost ZDA. Ima vdor učinke tudi v Sloveniji?

logotip podjetja Solarwinds
Vdor v platformo SolarWinds Orion močno odmeva v infosec skupnosti

Zlorabljena podjetja in ustanove v izjavah navajajo, da gre za državno podprte akterje (state-sponsored actors), ki so prek vdora pridobili dostop do dragocenih virov informacij in odskočno desko za nadaljnje širjenje po tujih omrežjih. Sam napad izkorišča dobavno verigo za dostavo zlonamernega tovora do končne točke, pa čeprav ne gre za nameščanje vohunskih komponent v strojno opremo, ampak v programsko. V tem primeru je to trojaniziran vtičnik za Orion platformo, poimenovan SUNBURST. Glede na nabor kompromitiranih ustanov je ameriška Agencija za kibernetsko varnost in infrastrukturo CISA celo izdala urgentno uredbo (Emergency Directive 21-01). Programsko opremo podjetja SolarWinds uporabljajo tudi v podjetju Dominion Voting Systems, ki proizvaja elektronske volilne naprave, vendar se je kasneje izkazalo, da ne uporabljajo kompromitiranih produktov.

Stanje v Sloveniji

Preiskava SI-CERT je pokazala zelo majhno razširjenost SolarWinds Orion platforme v Sloveniji, pri posameznih namestitvah pa smo ocenjevali možnost, da ta vsebuje zlonamerno komponento. Do sedaj tega v nobenem primeru nismo mogli potrditi, zato menimo, da vdor v SolarWinds nima konkretnih posledic za omrežja v Sloveniji. Po nekaterih informacijah napadalci tudi niso bili osredotočeni na vse uporabnike te programske opreme, ampak zgolj na nekaj najpomembnejših. Pri preiskavi smo se še posebej osredotočili na izvajalce bistvenih storitev, kot jih opredeljuje Zakon o informacijski varnosti. Razvoj dogodkov bomo spremljali še naprej.

Preberite tudi

Virusi s podpisi slovenskih podjetij

Eden od ukrepov, ki nas ščiti pred škodljivo ali zlonamerno kodo na računalnikih, je njeno digitalno podpisovanje. Če operacijski sistem ne najde podpisa avtorja programske kode, overjenega s strani priznanega …
Več

DMCA: zahtevajte umik ukradenih vsebin s spleta

Kako doseči odstranitev ukradenih slik ali phishing strani, kadar se sporno spletno mesto nahaja v ZDA?
Več

Največji napad z izsiljevalskim virusom izkorišča Kaseya VSA platformo

2. julija 2021 se je pričel odvijati največji napad z izsiljevalsko škodljivo kodo (ransomware), ki ga je izvedla kriminalna združba REvil. Uporabili so 0-day ranljivost (CVE-2021-30116) v platformi za uporavljanje …
Več