JetBrains назвали потенциальным «троянским конём» масштабной «атаки русских хакеров на США»; JB не считают себя виноватыми

Развитие событий: Сомнительной законности замедление "Твиттера" совпало со сбоями у Qiwi и госсайтов (10 марта 2021)

Cофт для разработчиков от компании с российскими корнями JetBrains мог использоваться российскими хакерами для получения несанкционированного доступа к сетям государственных органов, инфраструктурных систем и частных компаний, узнали в New York Times. Официальные лица подтвердили изданию, что службы разведки и кибербезопасности ведут расследование относительно JetBrains. Они подозревают, что хакеры получили незаконный доступ к разработкам JetBrains и внедрили бэкдоры в софт, используемый рядом компаний (у JetBrains около 300 тыс клиентов). Сейчас исследуется TeamCity, позволяющий разработчикам совместно тестировать код и обмениваться им.

Продукты JetBrains использовала компания SolarWinds, которая сейчас считается "входной точкой" атаки. SolarWinds производит софт для управления компьютерными сетями. Бывшие и нынешние сотрудники уже рассказали, что в SolarWinds всегда было плохо с безопасностью, а её проработавший 11 лет директор уже уволился. Репутация JetBrains тоже может пострадать, если виноватыми в компроментации ПО сочтут разработчиков.

Среди клиентов JetBrains такие крупные провайдеры решений для критически важной инфраструктуры, как Siemens, VMware, Google, Hewlett-Packard, Citibank. Компания уже выпустила официальное заявление о том, что с ними никто пока по поводу расследования не связывался, но они готовы к сотрудничеству. В JetBrains подчеркнули, что TeamCity -- сложный корпоративный продукт, который должен быть правильно настроен для безопасной работы, поэтому нельзя по умолчанию считать, что была найдена и использована уязвимость.

Ранее NYT рассказывала, что пока безопасники США пытались помешать российским хакерам повлиять на выборы, они чуть ли не весь 2020 год влияли на американскую государственную инфраструктуру и корпорации, "взломав" около 250 госструктур и компаний (официальное заявление ограничилось цифрой в 10 федеральных агентств), внедрившись в управление электросетями и в системы лабораторий, разрабатывающих новые виды ядерного оружия. Повышенное внимание к защите выборов стало одной из причин того, что на основную атаку никто долго не обращал внимания.

Американцы пока не определились, для чего именно русским пригодятся многочисленные "бэкдоры", просто для разведки или "чего-то более зловещего". Общественность подвергла суровой критике американские службы кибербезопасности, которые не только не помешали хакерам, но долгое время не замечали их активности. Не сработали "сенсоры раннего предупреждения, внедрённые АНБ и кибербезопасностью глубоко в иностранные сети". Целью может быть демонстрация технического превосходства и возможностей с целью "держать пистолет у виска" новой администрации и влиять на её решения, сказала NYT одна из специалисток по кибербезопасности Министерства внутренней безопасности.

Добавить 8 комментариев

  • Ответить
    Игорь Ашманов Сам себе компания

    Отлично, конечно — сделали SolarWinds единой точкой входа в любое место в США, стоит только почитать их список клиентов:

    Компания SolarWinds поставляет софт по управлению ИТ-инфраструктурой 85% компаний от всех компаний из списка Fortune 500, включая AT&T, Boston Consulting, Cable & Wireless, Cablecom Media AG, CBS, Cisco, Harvard University, ING Direct, Kennedy Space Center, Kodak, Lockheed Martin, Lucent, MasterCard, McDonald’s Restaurants, Microsoft, NCR, NEC, Nestle, New York Power Authority, Nielsen Media Research, Nortel, Procter & Gamble, US Dept. Of Defense, US Postal Service, US Secret Service, Visa USA, ещё огромному числу спецслужб и военных организаций.

    Потом год-полтора держали пароли в открытом виде на Github, не обращая внимания на предупреждения. Пароли при этом были на уровне кассира в Пятёрочке, например solarwinds12345.

    И внезапно виноваты в этом во всём русские — а не внезапно уволившийся директор. Чудовищно изощрённая атака — прочесть новость и пойти взять пароли на Гитхабе! Только злые русские на это способны.
    «This was a highly sophisticated cyberattack on our systems that inserted a vulnerability within our Orion® Platform products».

  • Ответить

    Почту кандидата сливают в даркнет, доступ к которому может получить любая домохозяйка, но виноваты русские хакеры.
    На компьютерах solarwinds, среди сотен программ обнаружено российское ПО — причина конечно же в нём.
    Аналогичная ситуация с Китаем.
    Молодцы! Что скажешь, и козла нашли и своих белыми пушистыми оставили.

  • Ответить

    «сенсоры раннего предупреждения, внедрённые АНБ и кибербезопасностью глубоко в иностранные сети» — можно подробнее, что это? Что-то типа бекдоров в JetBrains?)

  • Ответить

    Взлом инфраструктуры через доступ к торчащему голым задом в интернеты CI — довольно популярный и эффективный способ. Полагаю, пароль учётки администратора в TeamCity был тоже чем-то вроде solar123. Но, конечно, если бы это был Jenkins, русских хакеров приплести было бы затруднительно.

  • Ответить

    > сенсоры раннего предупреждения, внедрённые АНБ и кибербезопасностью глубоко в иностранные сети

    Недавно в подкасте в очередной раз слышал рекламу сервиса мониторинга Pingdom (популярный рекламодатель). Только в этот раз его объявили как Pingdom from SolarWinds. Хм, подумал я — какое знакомое название.

    Вот пингдом как раз и есть «сенсоры раннего предупреждения», если что. Но не знал, что они внедрены АНБ. Собственно, там ничего внедрять не нужно — они мониторят ваш ресурс снаружи, по вашей просьбе и за ваши же деньги.