Brandon Wales, dyrektor US Cybersecurity and Infrastructure Agency (CISA), potwierdził, że prawie jedna trzecia przedsiębiorstw i organizacji w USA poszkodowanych niedawnym cyberatakiem na dużą skalę nie miała bezpośrednich kontaktów z SolarWinds (Coraz większy zasięg ataku SolarWinds, 2020-12-21). Sama SolarWinds twierdzi, że dostęp do jej zasobów został uzyskany poprzez zhakowanie usług sieciowych Microsoft, w tym poczty elektronicznej i aplikacji Office 365 pracujących w chmurze Azure.
CrowdStrike, przedsiębiorstwo oferujące usługi w zakresie ochrony sieci informatycznych, twierdzi, że jego konta pracowników były nieskutecznie infiltrowane z wykorzystaniem jednego z jego zhakowanych kont, oferującego produkty Microsoft (Cyberatak na Malwarebytes LABS, 2021-01-21).
Aktualnie jest pewien konsensus w sprawie metody zastosowanej do pierwszych ataków. Miano wykorzystać rozpylanie haseł (password spraying), które polega na metodycznym sprawdzaniu danego hasła do wszystkich kont w przedsiębiorstwie. Jeśli hasło nie zadziała w żadnym z kont, to sprawdza się kolejne, itd. Chodzi o to, że każde z haseł w stosunku do danego kolejnego konta jest sprawdzane tylko raz, co nie powoduje żadnego alarmu w sieci informatycznej, gdyż typowe jest dopuszczenie możliwości trzykrotnego wprowadzania nieprawidłowego hasła. Dopiero wtedy system blokuje dostęp i zwykle uruchamia jakieś procedury awaryjne.
Według informacji ZDNet Vasu Bakkal, Microsoft Corporate VP of Security, Compliance and Identity, stwierdził, że sprawa SolarWinds nie jest odosobnioną awarią i takie ataki będą coraz bardziej zaawansowane. Nie są pierwszymi, ani ostatnimi. Będą normą w przyszłości.
Więcej o cyberataku na USA można przeczytać w RAPORT-wto 01/2021.