Článek
Celý průběh útoku zmapoval analytický tým společnosti Kaspersky zvaný GReAT (Global Research and Analysis, GReAT).
„Platforma Orion IT od společnosti SolarWinds slouží k monitoringu IT infrastruktur a jejím prolomením se vytvořila zadní vrátka jménem Sunburst, která útočníci nainstalovali do sítí více než 18 tisíc zákazníků,“ prohlásil Ariel Jungheit, hlavní bezpečnostní analytik týmu GReAT.
Nebezpečný virus Flubot infikoval přes 60 000 zařízení. Útočí přes SMS zprávy
Jedinou chybu tak útočníci zneužili k tomu, aby napadly velké korporace a vládní úřady v Severní Americe, v Evropě, na Blízkém východě a v Asii. Běžných uživatelů se tato trhlina nijak nedotkla.
Pikantní na tom je, že při bližším ohledání zmiňovaného backdooru, tedy zadních vrátek, si analytici všimli jejich podoby se starším programem tohoto typu, jemuž se říkalo Kazuar. „Ten se poprvé projevil v roce 2017 a pátrání po jeho původcích vedlo k neslavně proslulé hackerské skupině Turla. Naznačuje to možné spojení mezi útočníky využívajícími oba nástroje,“ doplnil Jungheit.
Tento fakt naznačuje, jak pružně dovedou kybernetičtí nájezdníci reagovat. Využívají totiž často i několik let staré programy, které drobnými úpravami mohou využít k útokům i v současnosti.
Chyba Exchange Serveru
Vrásky na čele bezpečnostním expertům udělala také chyba Exchange Serveru. Ta umožňovala přístup k e-mailovým schránkám na serveru a následné vzdálené spuštění kódu. „Check Point detekuje tisíce útoků, od 11. března se počet pokusů o zneužití zvýšil desetinásobně,“ prohlásil Pavel Krejčí, bezpečnostní výzkumník v Check Pointu.
Podle něj útoky zasáhly především USA (17 % všech pokusů o zneužití zranitelností), následují Německo (6 %), Spojené království (5 %), Nizozemsko (5 %) a Rusko (4 %). Nárůst útoků nicméně pokračuje i v České republice.
To potvrzují i data antivirové společnosti Eset, která jen v tuzemsku objevila v březnu na 500 napadených poštovních serverů. A to za necelé dva týdny od objevení zranitelnosti.