Stany Zjednoczone mogą przeprowadzić ofensywne cyberataki na cele w Rosji w ciągu kilku tygodni w odwecie za powszechne ataki SolarWinds Orion, nawet gdy rządowe zespoły ds. bezpieczeństwa cybernetycznego borykają się z dodatkowymi skutkami ujawnienia w zeszłym tygodniu czterech niebezpiecznych luki w Microsoft Exchange Server.
Jak donosi New York Times, na który powołano się na anonimowych urzędników rządowych, jakaś odpowiedź może nadejść przed końcem marca. Gazeta twierdziła, że prawdopodobnie będą to działania w ramach rosyjskich sieci rządowych, które wysłałyby wyraźny sygnał władzom rosyjskim, ale byłyby mniej oczywiste dla osób postronnych.
Jednocześnie doniesienia gazety wzmocniły spekulacje na temat nadchodzący dekret prezydenta Bidena zaprojektowany w celu wzmocnienia bezpieczeństwa sieci rządowych USA przed przyszłymi cyberatakami.
Matthew Connor, starszy kierownik ds. Świadczenia usług w F-Secure, powiedział, że zemsta za cyberataki nakazane przez państwo nie była oczywiście rzadkością, ponieważ strzelanie do wojen stało się nieco passé. W tym świetle, powiedział, należy się spodziewać takiego posunięcia ze strony administracji Bidena, ale drażnienie tego planu poprzez przecieki do prasy niesie ze sobą pewne ryzyko dla Amerykanów.
„Różnica może polegać na tym, że jedna ze stron publicznie określi zasady, według których będzie grać w przyszłości” – powiedział Connor. „Takie zasady mogą stanowić użyteczny środek odstraszający dla antagonistów, ale mogą również powodować wewnętrzny dyskomfort podczas zarządzania istotnymi relacjami z zagranicą.
„W tym przypadku szkody są dwojakie. Najwyraźniej utracono cenne informacje, a co gorsza, są one teraz dostępne publicznie. Rosja może zaprzeczyć, pomimo tego, jak mocne mogą być dowody, i eskalować wszelkie działania podjęte przeciwko niej. Nowy prezydent musi wykazać się siłą, ale ten mógł chcieć zachować wszelką konieczną zemstę z dala od opinii publicznej ”.
Tymczasem naukowcy z Jednostki ds. Zwalczania Zagrożeń w Secureworks już to zrobili opublikował dziś nowe dowody że inna grupa zaawansowanych i trwałych zagrożeń z siedzibą w Chinach, zwana Spiral, mogła stać za wtargnięciem Supernova na platformę SolarWinds Orion. Supernova był odkryte przez jednostkę 42 Palo Alto w grudniu 2020 r., ale szybko oceniono, że nie ma to związku z atakiem na łańcuch dostaw powiązany z Rosją na tę samą usługę.
Secureworks powiedział, że grupa wykorzystała plik CVE-2020-10148 luka w zabezpieczeniach umożliwiająca obejście uwierzytelniania na serwerze SolarWinds połączonym z Internetem w celu wdrożenia powłoki internetowej Supernova, która umożliwiła im poruszanie się po sieci docelowej i uzyskiwanie danych uwierzytelniających, chociaż zespół reagowania na incydenty zatrzymał je przed pobraniem jakichkolwiek danych.
Stwierdzono, że charakter ruchów aktora sugerował, że posiadał on wcześniejszą wiedzę na temat konfiguracji ofiary, a dzięki dalszemu dochodzeniu był w stanie powiązać ją z wcześniejszą serią ataków na tę samą sieć wykorzystującą podatny na ataki ManageEngine ServiceDesk. Szereg innych podobnych taktyk, technik i procedur umożliwiło następnie nawiązanie połączenia z grupą Spiral.