Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) κατηγόρησε σήμερα τη SolarWinds για εξαπάτηση επενδυτών, φερόμενη απόκρυψη ζητημάτων άμυνας στον
κυβερνοχώρο
πριν από τον Δεκέμβριο του 2020 που συνδέεται με την APT29, τη ρωσική Υπηρεσία Εξωτερικών Πληροφοριών (SVR).
Αυτή η ομάδα απειλών ενορχήστρωσε την επίθεση στην εφοδιαστική αλυσίδα της SolarWinds, η οποία οδήγησε στην παραβίαση πολλών ομοσπονδιακών υπηρεσιών των ΗΠΑ πριν από τρία χρόνια.
Η SEC ισχυρίζεται ότι η SolarWinds απέτυχε να ειδοποιήσει τους επενδυτές σχετικά με τους κινδύνους στον κυβερνοχώρο και τις κακές πρακτικές για τις οποίες γνώριζε ο Chief Information Security Officer, Timothy G. Brown (που αντιμετωπίζει επίσης νομικές ενέργειες από τις ρυθμιστικές αρχές). Αντίθετα, η εταιρεία φέρεται να αποκάλυψε μόνο μεγάλους και θεωρητικούς κινδύνους για τους επενδυτές της.
«Υποστηρίζουμε ότι, για χρόνια, η SolarWinds και η Brown αγνόησαν επαναλαμβανόμενες κόκκινες σημαίες σχετικά με τους κινδύνους στον κυβερνοχώρο της SolarWinds, οι οποίοι ήταν ευρέως γνωστοί σε όλη την εταιρεία και οδήγησαν έναν από τους υφισταμένους του Brown στο συμπέρασμα: «Απέχουμε τόσο πολύ από το να είμαστε μια εταιρεία με γνώμονα την ασφάλεια. “”
είπε
Gurbir S. Grewal, επικεφαλής του τμήματος επιβολής της SEC.
“Αντί να αντιμετωπίσουν αυτά τα τρωτά σημεία, η SolarWinds και η Brown συμμετείχαν σε μια εκστρατεία για να ζωγραφίσουν μια λανθασμένη εικόνα του περιβάλλοντος ελέγχων στον κυβερνοχώρο της εταιρείας, στερώντας έτσι από τους επενδυτές ακριβείς υλικές πληροφορίες.”
Η ρυθμιστική αρχή ισχυρίζεται ότι ο Brown γνώριζε ήδη ότι οι εισβολείς που θα χάκαραν τα συστήματα της SolarWinds εξ αποστάσεως θα ήταν πολύ δύσκολο να εντοπιστούν από τουλάχιστον το 2018, σύμφωνα με παρουσιάσεις που έλεγαν ότι «η τρέχουσα κατάσταση ασφάλειας μας αφήνει σε πολύ ευάλωτη κατάσταση για τα κρίσιμα περιουσιακά μας στοιχεία. ” και αυτό “[a]Η πρόσβαση και τα προνόμια σε κρίσιμα συστήματα/δεδομένα είναι ακατάλληλα.”
Ο Μπράουν εξέφρασε επίσης ανησυχίες τον Ιούνιο του 2020 ότι οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν το λογισμικό Orion της SolarWinds (το οποίο τρωανοποιήθηκε από τους Ρώσους χάκερ για να παραβιάσουν τα συστήματα των πελατών μήνες αργότερα) ως εργαλείο σε μελλοντικές επιθέσεις, επειδή τα συστήματα υποστήριξης της εταιρείας δεν ήταν «ανθεκτικά».
Δύο μήνες πριν από την επίθεση, η SEC λέει ότι ένα εσωτερικό έγγραφο της SolarWinds αποκάλυψε ότι οι ομάδες μηχανικών δεν ήταν πλέον σε θέση να συμβαδίσουν με μια μακρά λίστα νέων ζητημάτων ασφαλείας που έπρεπε να αντιμετωπίσουν.
«Είναι ανησυχητικό το γεγονός ότι η Επιτροπή Κεφαλαιαγοράς (SEC) υπέβαλε τώρα αυτό που πιστεύουμε ότι είναι μια λανθασμένη και ακατάλληλη αγωγή επιβολής εναντίον μας, που αντιπροσωπεύει ένα οπισθοδρομικό σύνολο απόψεων και ενεργειών που δεν συνάδουν με την πρόοδο που χρειάζεται να κάνει ο κλάδος και η κυβέρνηση ενθαρρύνει »,
είπε
Πρόεδρος και Διευθύνων Σύμβουλος Sudhakar Ramakrishna ως απάντηση στις κατηγορίες της SEC.
“Κάναμε μια σκόπιμη επιλογή να μιλήσουμε -ειλικρινά και συχνά- με στόχο να μοιραστούμε αυτά που μάθαμε για να βοηθήσουμε άλλους να γίνουν πιο ασφαλείς. Συνεργαστήκαμε στενά με την κυβέρνηση και ενθαρρύναμε άλλες εταιρείες να είναι πιο ανοιχτές σχετικά με την ασφάλεια μοιράζοντας πληροφορίες και βέλτιστες πρακτικές .
«Οι χρεώσεις της SEC διακινδυνεύουν τώρα την ανοιχτή ανταλλαγή πληροφοριών σε ολόκληρο τον κλάδο που οι ειδικοί στον τομέα της κυβερνοασφάλειας συμφωνούν ότι απαιτείται για τη συλλογική μας ασφάλεια».
Νωρίτερα φέτος, η SEC επίσης
έστειλε ειδοποιήσεις στον Γουέλς
συνδέεται με την έρευνά της για την παραβίαση του 2020 προς την εταιρεία και τα στελέχη της SolarWinds (συμπεριλαμβανομένου του CFO της εταιρείας και του CISO), ενημερώνοντάς τους ότι το προσωπικό της SEC συνιστά αγωγή πολιτικής επιβολής κατά των παραληπτών για παραβίαση της ομοσπονδιακής νομοθεσίας περί τίτλων των ΗΠΑ.
Η ρωσική ομάδα απειλών APT29 παραβίασε τα εσωτερικά συστήματα της SolarWinds και τρόγιανισε την πλατφόρμα διαχείρισης
πληροφορική
ς SolarWinds Orion και τις επόμενες εκδόσεις που κυκλοφόρησαν μεταξύ Μαρτίου 2020 και Ιουνίου 2020.
Οι κακόβουλες κατασκευές χρησιμοποιήθηκαν για να ρίξουν το Sunburst backdoor στα συστήματα «λιγότερων από 18.000» θυμάτων. Ωστόσο, οι επιτιθέμενοι επέλεξαν έναν σημαντικά μικρότερο αριθμό στόχων για εκμετάλλευση σε δεύτερο στάδιο.
Η SolarWinds λέει ότι έχει περισσότερους από 300.000 πελάτες σε όλο τον κόσμο και το 96% των εταιρειών του Fortune 500, συμπεριλαμβανομένων και των δέκα κορυφαίων εταιρειών τηλεπικοινωνιών των ΗΠΑ, Apple,
Google
, Amazon και
ένας μακρύς κατάλογος κυβερνητικών υπηρεσιών
(όπως ο Στρατός των ΗΠΑ, το Πεντάγωνο των ΗΠΑ, το Στέιτ Ντιπάρτμεντ, η NASA, η NSA, η Ταχυδρομική Υπηρεσία, η NOAA, το Υπουργείο Δικαιοσύνης των ΗΠΑ και το Γραφείο του Προέδρου των Ηνωμένων Πολιτειών).
Πολλές κυβερνητικές υπηρεσίες των ΗΠΑ επιβεβαίωσαν αργότερα ότι παραβιάστηκαν, συμπεριλαμβανομένων των
Υπουργείο Εξωτερικών
ο
Υπουργείο Εσωτερικής Ασφάλειας
(DHS), το
Υπουργείο Οικονομικών
το Τμήμα Ενέργειας (ΔΟΕ), το
Εθνική Διοίκηση Τηλεπικοινωνιών και Πληροφοριών
(ΝΤΙΑ), η
Εθνικά Ινστιτούτα Υγείας
(NIH) (τμήμα του Υπουργείου Υγείας των ΗΠΑ) και της Εθνικής Υπηρεσίας Πυρηνικής Ασφάλειας (NNSA).
Ενημέρωση 30 Οκτωβρίου, 18:14 EDT:
Ένας εκπρόσωπος της SolarWinds έστειλε την ακόλουθη δήλωση μετά τη δημοσίευση του άρθρου:
Είμαστε απογοητευμένοι από τις αβάσιμες κατηγορίες της SEC σχετικά με μια ρωσική κυβερνοεπίθεση σε αμερικανική εταιρεία και ανησυχούμε βαθιά ότι αυτή η ενέργεια θα θέσει σε κίνδυνο την εθνική μας ασφάλεια. Η αποφασιστικότητα της SEC να υποβάλει αξίωση εναντίον μας και του CISO μας είναι άλλο ένα παράδειγμα υπέρβασης του οργανισμού και θα πρέπει να ανησυχήσει όλες τις δημόσιες εταιρείες και τους αφοσιωμένους επαγγελματίες στον τομέα της κυβερνοασφάλειας σε ολόκληρη τη χώρα. Ανυπομονούμε να διευκρινίσουμε την αλήθεια στο δικαστήριο και να συνεχίσουμε να υποστηρίζουμε τους πελάτες μας μέσω των δεσμεύσεών μας Secure by
Design
.
VIA:
bleepingcomputer.com