ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) bugün SolarWinds’i, Rus Dış İstihbarat Servisi (SVR) hack bölümü olan APT29 ile bağlantılı Aralık 2020’den önce siber güvenlik savunma sorunlarını gizlediği iddiasıyla yatırımcıları dolandırmakla suçladı.
Bu tehdit grubu, üç yıl önce birden fazla ABD federal kurumunun ihlaline yol açan SolarWinds tedarik zinciri saldırısını düzenledi.
SEC, SolarWinds’in yatırımcıları siber güvenlik riskleri ve Baş Bilgi Güvenliği Görevlisi Timothy G. Brown’un (aynı zamanda düzenleyici otoriteler tarafından yasal işlemle karşı karşıya olan) bildiği kötü uygulamalar konusunda bilgilendirmediğini iddia ediyor. Bunun yerine şirketin yatırımcılarına yalnızca geniş ve teorik riskleri açıkladığı bildirildi.
“SolarWinds ve Brown’un, şirket genelinde iyi bilinen ve Brown’ın astlarından birinin şu sonuca varmasına yol açan, SolarWinds’in siber riskleriyle ilgili tekrarlanan tehlike işaretlerini yıllardır görmezden geldiğini iddia ediyoruz: ‘Güvenlik odaklı bir şirket olmaktan çok uzağız, ‘” dedi SEC İcra Dairesi başkanı Gurbir S. Grewal.
“SolarWinds ve Brown, bu güvenlik açıklarını ele almak yerine, şirketin siber kontrol ortamına ilişkin yanlış bir resim çizmek ve böylece yatırımcıları doğru maddi bilgilerden mahrum bırakmak için bir kampanya başlattı.”
Düzenleyici, Brown’un SolarWinds sistemlerini uzaktan hackleyen saldırganların tespit edilmesinin en az 2018’den bu yana çok zor olacağının zaten farkında olduğunu iddia ediyor; sunumlara göre “mevcut güvenlik durumu bizi kritik varlıklarımız açısından çok savunmasız bir durumda bırakıyor” ” ve şu “[a]Kritik sistemlere/verilere erişim ve ayrıcalık uygun değildir.”
Brown ayrıca Haziran 2020’de, şirketin arka uç sistemlerinin “dayanıklı” olmaması nedeniyle saldırganların (aylar sonra müşterilerin sistemlerine sızmak için Rus bilgisayar korsanları tarafından truva atı haline getirilen) SolarWinds’in Orion yazılımını gelecekteki saldırılarda bir araç olarak kullanabileceği yönündeki endişelerini dile getirdi.
Saldırıdan iki ay önce SEC, SolarWinds’in dahili bir belgesinin, mühendislik ekiplerinin ele almaları gereken yeni güvenlik sorunlarının uzun bir listesini artık takip edemediklerini ortaya çıkardığını söylüyor.
“Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) bize karşı yanlış yönlendirilmiş ve uygunsuz bir yaptırım davası açması endişe verici; bu, sektörün kaydetmesi gereken ve hükümetin teşvik ettiği ilerlemeyle tutarsız gerici görüş ve eylemleri temsil ediyor.” ” dedi Başkan ve İcra Kurulu Başkanı Sudhakar Ramakrishna, SEC’in suçlamalarına yanıt olarak.
“Başkalarının daha güvende olmasına yardımcı olmak için öğrendiklerimizi paylaşmak amacıyla samimi ve sık sık konuşmayı bilinçli bir şekilde seçtik. Hükümetle yakın ortaklık kurduk ve bilgi ve en iyi uygulamaları paylaşarak diğer şirketleri güvenlik konusunda daha açık olmaya teşvik ettik. .
“SEC’in suçlamaları artık siber güvenlik uzmanlarının kolektif güvenliğimiz için gerekli olduğu konusunda hemfikir olduğu sektör genelinde açık bilgi paylaşımını riske atıyor.”
Bu yılın başlarında SEC, Wells’e 2020 ihlaliyle ilgili soruşturmasıyla ilgili bildirimleri şirkete ve CFO ve CISO dahil SolarWinds yöneticilerine gönderdi. Bu bildirimler, alıcılara, SEC personelinin, ABD federal menkul kıymetler yasalarının ihlal edildiği iddiasıyla kendilerine karşı bir sivil icra eyleminin savunuculuğunu yaptığı konusunda bilgi verdi.
Rus APT29 tehdit grubu, SolarWinds’in dahili sistemlerini ihlal etti ve SolarWinds Orion BT yönetim platformuna ve Mart 2020 ile Haziran 2020 arasında yayımlanan sonraki yapılara truva atı ekledi.
Kötü amaçlı yapılar, Sunburst arka kapısını “18.000’den az” kurbanın sistemlerine bırakmak için kullanıldı. Ancak saldırganlar, ikinci aşamadaki istismar için çok daha az sayıda hedefi özel olarak seçti.
SolarWinds, dünya çapında 300.000’den fazla müşteriye sahip olduğunu ve Fortune 500 şirketlerinin %96’sının bulunduğunu, bunların arasında ABD’nin en büyük on telekom şirketi, Apple, Google, Amazon ve uzun bir devlet kurumları listesi (ABD Ordusu, ABD Pentagon, ABD) bulunduğunu söylüyor. Dışişleri Bakanlığı, NASA, NSA, Posta Servisi, NOAA, ABD Adalet Bakanlığı ve Amerika Birleşik Devletleri Başkanlık Ofisi).
Daha sonra aralarında Dışişleri Bakanlığı, İç Güvenlik Bakanlığı (DHS), Hazine Bakanlığı, Enerji Bakanlığı (DOE), Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA)’nin de bulunduğu çok sayıda ABD hükümet kurumu bu bilgilerin ihlal edildiğini doğruladı. Ulusal Sağlık Enstitüleri (NIH) (ABD Sağlık Bakanlığı’nın bir parçası) ve Ulusal Nükleer Güvenlik İdaresi (NNSA).
30 Ekim 18:14 EDT güncellemesi: Bir SolarWinds sözcüsü, makale yayınlandıktan sonra aşağıdaki açıklamayı gönderdi:
SEC’in, Rusya’nın bir Amerikan şirketine düzenlediği siber saldırıyla ilgili asılsız suçlamalarından dolayı hayal kırıklığına uğradık ve bu eylemin ulusal güvenliğimizi riske atacağından derin endişe duyuyoruz. SEC’in bize ve CISO’muza karşı dava açma kararlılığı, ajansın aşırı müdahalesinin bir başka örneğidir ve ülke çapındaki tüm kamu şirketlerini ve kararlı siber güvenlik profesyonellerini alarma geçirmelidir. Mahkemede gerçeği açıklamayı ve Güvenli Tasarım taahhütlerimiz aracılığıyla müşterilerimizi desteklemeye devam etmeyi sabırsızlıkla bekliyoruz.