Из 18000 серверов с бэкдором хакеры обслужили лишь несколько десятков.
Из 18 000 организаций, загрузивших бэкдор-версию программного обеспечения от SolarWinds, самые крошечные фрагменты. возможно, всего 0,2 процента. получили последующий взлом, в ходе которого использовался бэкдор для установки полезной нагрузки второго уровня. Самыми крупными группами населения, прошедшими вторую стадию, по порядку были технологические компании, правительственные учреждения и аналитические центры / НПО. Подавляющее большинство. 80 процентов. из этих 40 избранных проживали в США.
Эти данные были предоставлены президентом Microsoft Брэдом Смитом. Смит также поделился проницательными и отрезвляющими комментариями о значении этого почти беспрецедентного нападения. Его цифры неполны, поскольку Microsoft видит только то, что обнаруживает приложение Windows Defender. Тем не менее, Microsoft видит многое, поэтому любая разница с реальными цифрами, скорее всего, является ошибкой округления.
Крем-де-ла-крем
Продолжавшаяся несколько месяцев хакерская кампания стала известна только после того, как охранная компания FireEye признала, что ее взломало национальное государство. В ходе расследования исследователи компании обнаружили, что хакеры использовали бэкдор Orion не только против FireEye, но и в более широкой кампании, нацеленной на несколько федеральных агентств. За прошедшие с тех пор 10 дней масштабы и дисциплина хакерской операции стали более очевидными.
Взлом SolarWinds и его бэкдор на 18 000 серверов был только первым этапом атаки, которая проводилась только для того, чтобы поразить интересующие цели. Эти лучшие организации, вероятно, были единственной целью всей операции, которая длилась не менее девяти месяцев, а, возможно, и намного дольше.
Цифры Microsoft показывают, насколько целенаправленной была эта атака. Хакеры, стоящие за этим взломом цепочки поставок, имели привилегированный доступ к 18000 корпоративных сетей и работали только в 40 из них.
На карте ниже показан сектор этих элитных жертв взлома.
Нарушение норм
Смит молчаливо признал, что все промышленно развитые страны занимаются шпионажем, в том числе и взломом. По его словам, на этот раз изменилось то, что национальное государство нарушило установленные нормы, подвергнув огромные районы мира реальной опасности для достижения своих целей. Смит продолжал писать:
В другом месте поста Смит процитировал недавнее высказывание генерального директора FireEye Кевина Мандиа: «Мы являемся свидетелями нападения нации, обладающей высочайшим наступательным потенциалом». Затем Смит написал:
Взлом SolarWinds превращается в один из худших шпионских взломов за последнее десятилетие, если не за все время. Мастерство и высокая точность поразительны. По мере того, как эти элитные жертвы в течение следующих недель выясняют, что второй этап сделал с их сетями, эта история, вероятно, перейдет в гипердвигатель.