Skoči na vsebino

SolarWinds vdor

SolarWinds Orion je platforma za upravljanje z IKT sredstvi, ki jo med drugim uporabljajo Fortune 500 podjetja in veliko državnih ustanov. Marca 2020 je prišlo do vdora v podjetje, med katerim so storilci namestili stranska vrata v Orion, podjetje pa je to zlonamerno komponento nevede “porinilo” naprej svojim strankam skozi cikle rednih nadgradenj. Kot kaže, je to omogočilo nadaljnje vdore v eno od vodilnih podjetij na področju kibernetske varnosti FireEye in celo v Ministrstvo za domovinsko varnost ZDA. Ima vdor učinke tudi v Sloveniji?

logotip podjetja Solarwinds
Vdor v platformo SolarWinds Orion močno odmeva v infosec skupnosti

Zlorabljena podjetja in ustanove v izjavah navajajo, da gre za državno podprte akterje (state-sponsored actors), ki so prek vdora pridobili dostop do dragocenih virov informacij in odskočno desko za nadaljnje širjenje po tujih omrežjih. Sam napad izkorišča dobavno verigo za dostavo zlonamernega tovora do končne točke, pa čeprav ne gre za nameščanje vohunskih komponent v strojno opremo, ampak v programsko. V tem primeru je to trojaniziran vtičnik za Orion platformo, poimenovan SUNBURST. Glede na nabor kompromitiranih ustanov je ameriška Agencija za kibernetsko varnost in infrastrukturo CISA celo izdala urgentno uredbo (Emergency Directive 21-01). Programsko opremo podjetja SolarWinds uporabljajo tudi v podjetju Dominion Voting Systems, ki proizvaja elektronske volilne naprave, vendar se je kasneje izkazalo, da ne uporabljajo kompromitiranih produktov.

Stanje v Sloveniji

Preiskava SI-CERT je pokazala zelo majhno razširjenost SolarWinds Orion platforme v Sloveniji, pri posameznih namestitvah pa smo ocenjevali možnost, da ta vsebuje zlonamerno komponento. Do sedaj tega v nobenem primeru nismo mogli potrditi, zato menimo, da vdor v SolarWinds nima konkretnih posledic za omrežja v Sloveniji. Po nekaterih informacijah napadalci tudi niso bili osredotočeni na vse uporabnike te programske opreme, ampak zgolj na nekaj najpomembnejših. Pri preiskavi smo se še posebej osredotočili na izvajalce bistvenih storitev, kot jih opredeljuje Zakon o informacijski varnosti. Razvoj dogodkov bomo spremljali še naprej.

Preberite tudi

Konferenca o ozaveščanju o kibernetski varnosti

Agencija EU za kibernetsko varnost ENISA je v partnerstvu s SI-CERT organizirala prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek je 27. novembra 2024, v Klubu Cankarjevega doma, gostil …
Več

Statistika SI-CERT za prvo polovico leta 2024

Za trend prve polovice 2024 smo izbrali ciljanje na mobilne naprave, najbolj očitno gre za lažna SMS sporočila (smishing) v imenu bank in dostavnih služb. Na te se usmerjajo tudi vedno bolj napredni trojanci za krajo podatkov za dostop do mobilnih denarnic.
Več

CrowdStrike izpad in posledice v Sloveniji

Ob pospešeni digitalizaciji različnih vidikov družbe postajamo vedno bolj odvisni od informacijskih sistemov. Kako odporni so le-ti na izpade?
Več