ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) bugün, Aralık 2020'de Rus Dış İstihbarat Servisi (SVR) hackleme bölümü APT29 ile bağlantılı olarak siber güvenlik savunma sorunlarını gizlediği iddia edilen yatırımcılara dolandırıcılık yapmakla suçladı.
Bu tehdit grubu, üç yıl önce birden fazla ABD federal ajansının ihlaline yol açan Solarwinds tedarik zinciri saldırısını düzenledi.
SEC, Solarwinds'in yatırımcılara siber güvenlik riskleri ve baş bilgi güvenlik görevlisi Timothy G. Brown'un (aynı zamanda düzenleyici makamlardan yasal işlemle karşı karşıya olduğu) kötü uygulamalar hakkında bilgilendiremediğini iddia ediyor. Bunun yerine, şirketin yatırımcıları için sadece geniş ve teorik riskleri açıkladığı bildirildi.
"Yıllarca, Solarwinds ve Brown, Solarwinds'in şirket genelinde iyi bilinen ve Brown'un astlarından birini sonuçlandırmaya yönlendiren Solarwinds'in siber riskleri hakkında tekrarlanan kırmızı bayrakları görmezden geldiğini iddia ediyoruz: 'Güvenlik düşünen bir şirket olmaktan çok uzaktayız, '' Dedi SEC'in İcra Bölümü başkanı Gurbir S. Grewal.
"Bu güvenlik açıklarını ele almak yerine, Solarwinds ve Brown, şirketin siber kontrol ortamının sahte bir resmini çizme, böylece yatırımcıları doğru malzeme bilgilerinden mahrum etmek için bir kampanyaya katıldılar."
Regülatör, Brown'un Solarwinds'in sistemlerini uzaktan hackleyecek saldırganların en azından 2018'den beri tespit edilmesinin çok zor olacağını zaten farkında olduğunu iddia ediyor. "Ve bu" [a] kritik sistemlere/verilere olan ayrıcalık ve ayrıcalık uygun değildir. "
Brown ayrıca Haziran 2020'de saldırganların Solarwinds'in Orion yazılımını (Rus hackerlar tarafından aylar sonra müşterilerin sistemlerini ihlal etmek için trojanize edilen) kullanabileceği, çünkü şirketin arka uç sistemleri "esnek" olmadığı için kullanabileceği endişelerini dile getirdi.
Saldırıdan iki ay önce SEC, bir Solarwinds dahili belgesinin mühendislik ekiplerinin artık ele almaları gereken yeni güvenlik sorunlarının uzun bir listesine ayak uyduramadığını ortaya koyduğunu söylüyor.
"Menkul Kıymetler ve Borsa Komisyonu'nun (SEC), bize karşı yanlış yönlendirilmiş ve uygunsuz bir icra eylemi olduğuna inandığımız şeyi sunması endişe vericidir, bu da endüstrinin yapması gereken ilerlemeyle tutarsız bir dizi görüş ve eylemi temsil eder ve hükümetin teşvik ettiği SEC'in suçlamalarına yanıt olarak Başkan ve İcra Kurulu Başkanı Sudhakar Ramakrishna.
"Başkalarının daha güvenli olmasına yardımcı olmak için öğrendiklerimizi paylaşmak amacıyla - kasıtlı ve sık - konuşmak için kasıtlı bir seçim yaptık. Hükümetle yakın ortaklık kurduk ve diğer şirketleri bilgi ve en iyi uygulamaları paylaşarak güvenlik konusunda daha açık olmaya teşvik ettik. .
Diyerek şöyle devam etti: "SEC'in suçlamaları artık siber güvenlik uzmanlarının kolektif güvenliğimiz için gerekli olduğunu kabul ettikleri sektör genelinde açık bilgi paylaşımı riskiyle karşı karşıya."
Bu yılın başlarında, SEC, CFO ve CISO da dahil olmak üzere şirkete 2020 ihlali ve Solarwinds yöneticilerine olan soruşturmasıyla ilgili kuyu bildirimleri gönderdi. Bu bildirimler, alıcılara SEC personelinin ABD federal menkul kıymetler yasalarının ihlalini iddia ederek kendilerine karşı bir sivil uygulama eylemini savunduğunu bildirdi.
Rus APT29 Tehdit Grubu, Solarwinds'in iç sistemlerini ihlal etti ve Solarwinds Orion BT yönetim platformunu ve daha sonraki yapıları Mart 2020 ve Haziran 2020 arasında piyasaya sürdü.
Kötü niyetli yapılar, Sunburst Backdoor'u "18.000'den az" kurban sistemlerine bırakmak için kullanıldı. Ancak, saldırganlar ikinci aşama sömürüsü için çok daha az sayıda hedef seçti.
SolarWinds, dünya çapında 300.000'den fazla müşteriye ve Fortune 500 şirketlerinin% 96'sının, ilk on ABD telekom şirketi, Apple, Google, Amazon ve uzun bir govt ajansı listesi (ABD ordusu, ABD Pentagon, The The Dışişleri Bakanlığı, NASA, NSA, Posta Servisi, NOAA, ABD Adalet Bakanlığı ve ABD Başkanı Ofisi).
Birden fazla ABD Hükümeti ajansı daha sonra, Dışişleri Bakanlığı, İç Güvenlik Bakanlığı (DHS), Hazine Bakanlığı, Enerji Bakanlığı (DOE), Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA) dahil olmak üzere ihlal edildiğini doğruladı. Ulusal Sağlık Enstitüleri (NIH) (ABD Sağlık Bakanlığı'nın bir parçası) ve Ulusal Nükleer Güvenlik İdaresi (NNSA).
Güncelleme 30 Ekim 18:14 EDT: Bir SolarWinds sözcüsü, makale yayınlandıktan sonra aşağıdaki ifadeyi gönderdi:
SEC'in bir Amerikan şirketindeki bir Rus siber saldırısı ile ilgili asılsız suçlamalardan hayal kırıklığına uğradık ve bu eylemin ulusal güvenliğimizi riske atacağı konusunda derinden endişeliyiz. SEC'in bize ve CISO'mıza karşı bir iddia üretme kararlılığı, ajansın aşırı erişiminin bir başka örneğidir ve tüm kamu şirketlerini alarm vermeli ve ülke çapında siber güvenlik profesyonelleri taahhüt etmelidir. Mahkemedeki gerçeği açıklığa kavuşturmayı ve tasarım taahhütleriyle güvenli bir şekilde müşterilerimizi desteklemeye devam etmeyi dört gözle bekliyoruz.
Google, California'da Android İzleme Davası'na yerleştirmek için 93 milyon dolar ödüyor
Philadelphia Şehri beş ay sonra veri ihlalini açıklar
D.C. Seçim Kurulu: Bilgisayar korsanları tüm seçmen rulolarını ihlal etmiş olabilir
Siber casusluk için ihlal edilen uluslararası ceza mahkemesi sistemleri
Solarwinds Access Denetim Çözümü'nde bulunan kritik RCE kusurları
Kaynak: Bleeping Computer