Το FBI ανακάλυψε ότι το National Finance Center (NFC), μια ομοσπονδιακή υπηρεσία μισθοδοσίας του Υπουργείου Γεωργίας των ΗΠΑ (USDA), παραβιάστηκε από hackers, που φαίνεται να χρησιμοποίησαν ένα σφάλμα του λογισμικού SolarWinds Orion.
Το NFC παρέχει πόρους και υπηρεσίες μισθοδοσίας σε περίπου 170 ομοσπονδιακές υπηρεσίες (δηλαδή σε περισσότερους από 650.000 υπαλλήλους).
Το Υπουργείο Γεωργίας των ΗΠΑ παραδέχτηκε την παραβίαση δεδομένων
Σύμφωνα με τα στοιχεία που υπάρχουν μέχρι τώρα, η ευπάθεια του SolarWinds Orion software που χρησιμοποίησαν οι hackers για να παραβιάσουν τα συστήματα του NFC δεν είναι η ίδια με αυτή που χρησιμοποιήθηκε το Δεκέμβριο για την ανάπτυξη του Sunburst backdoor στα συστήματα πελατών της SolarWinds.
Τόσο το FBI όσο και το Υπουργείο δεν έχουν δώσει περισσότερες λεπτομέρειες, αλλά το Υπουργείο επιβεβαίωσε την παραβίαση δεδομένων, ενώ είπε ότι “ειδοποίησε όλους τους πελάτες (συμπεριλαμβανομένων ατόμων και οργανισμών) των οποίων τα δεδομένα έχουν επηρεαστεί“. (Αργότερα, ωστόσο, ένας άλλος εκπρόσωπος του Υπουργείου είπε ότι δεν υπήρχε καμιά παραβίαση).
Σύμφωνα με πηγές του Reuters, πίσω από το hack βρίσκονται πιθανότατα Κινέζοι hackers, καθώς έχουν χρησιμοποιηθεί υποδομές και εργαλεία που έχουν παρατηρηθεί και σε προηγούμενες επιθέσεις που υποστηρίζονταν από την κινεζική κυβέρνηση. Πέρα από την ομοσπονδιακή υπηρεσία μισθοδοσίας, έχουν επηρεαστεί και άλλες κυβερνητικές υπηρεσίες, αλλά δεν έχει καθοριστεί ακόμα ο αριθμός τους.
Το κινεζικό Υπουργείο Εξωτερικών αρνήθηκε τις επιθέσεις.
Η συγκεκριμένη ευπάθεια έχει χρησιμοποιηθεί για την ανάπτυξη του Supernova backdoor
Δεν έχουν δημοσιευτεί περισσότερες λεπτομέρειες για την ευπάθεια, αλλά σύμφωνα με το Reuters, οι hackers χρησιμοποίησαν το ίδιο σφάλμα που έχει χρησιμοποιηθεί για την ανάπτυξη του Supernova backdoor σε συστήματα με ευάλωτες εκδόσεις της πλατφόρμας Orion.
“Αυτή η ευπάθεια στην πλατφόρμα Orion έχει διορθωθεί στις τελευταίες ενημερώσεις“, δήλωσε η SolarWinds.
Οι εταιρείες που δεν μπορούν να ενημερώσουν άμεσα τα συστήματά τους, μπορούν να χρησιμοποιήσουν ένα script που παρέχει η SolarWinds για την προσωρινή προστασία των συστημάτων τους από πιθανές επιθέσεις.
Το SuperNova backdoor αναπτύχθηκε ως αρχείο DLL, που επέτρεψε στους εισβολείς να στείλουν και να εκτελέσουν απομακρυσμένα κώδικα στα ευάλωτα συστήματα.
Προς το παρόν, δεν γνωρίζουμε ποιος ακριβώς ήταν ο σκοπός των hackers πίσω από αυτό το hack.
Πηγή: Bleeping Computer