“Взлом SolarWinds был не просто утечкой данных. Это был инженерный прорыв в атаке на цепи поставок, который на годы изменил ландшафт кибербезопасности, показав, что самая большая уязвимость, это доверие. Мы привыкли бояться вирусов в пиратском софте, а злоумышленники зашли через официальное обновление от проверенного вендора, который был в списке доверенных у каждой крупной компании.”
Грань между обновлением и трояном
Обычно вредоносный код проникает в систему через уязвимость, фишинговое письмо или небезопасный порт. SolarWinds предложил другой путь: легальный канал обновлений. Компания SolarWinds производила популярный продукт Orion — платформу для мониторинга сетей и IT-инфраструктуры. Тысячи организаций, включая министерства и крупные корпорации, доверяли ему и регулярно устанавливали обновления. В марте 2020 года злоумышленники внедрили свой код в процесс сборки этого обновления. В результате, когда клиенты SolarWinds качали с официальных серверов файл SolarWinds.Orion.Core.BusinessLayer.dll версии 2019.4 – 2020.2.1, они вместе с патчами получали бэкдор.
Этот бэкдор, названный SUNBURST, был мастерски закамуфлирован. Он не начинал активных действий сразу после установки. Вместо этого он «засыпал» на срок от 12 до 14 дней, имитируя легитимную сетевую активность, чтобы не вызвать подозрений систем мониторинга. После периода ожидания бэкдор выходил на связь с управляющим сервером, который был замаскирован под домен, связанный с обновлениями avsvmcloud.com. Коммуникация использовала легитимный протокол HTTPS, а трафик был зашифрован и выглядел как обычные запросы к облачным сервисам.
Цепь поставок как ахиллесова пята
Атака через цепь поставок программного обеспечения (software supply chain attack) стала главным уроком этого инцидента. Злоумышленники атаковали не конечную цель, а одного из её доверенных поставщиков. Это эффективно умножает масштаб: взломав одного вендора, получаешь доступ ко всей его клиентской базе. В случае с SolarWinds это были более 18 000 организаций по всему миру.
Но почему цепь поставок так уязвима? Процесс разработки и сборки ПО — сложный пазл из множества компонентов: исходный код, сторонние библиотеки, системы непрерывной интеграции (CI/CD), серверы подписи кода. Каждое звено — потенциальная точка входа. В SolarWinds злоумышленники получили доступ к среде сборки и смогли подписать вредоносный код цифровым сертификатом компании. Для систем безопасности клиентов обновление было абсолютно легитимным — оно приходило с правильного адреса и имело правильную цифровую подпись.
После этого инцидента регуляторы и стандарты безопасности, включая российские требования ФСТЭК и 152-ФЗ, стали уделять целям поставки критическое внимание. Теперь недостаточно проверять только своё периметровое оборудование; необходимо оценивать риски, исходящие от всех вендоров, чьё ПО имеет доступ к информационным ресурсам.
Сложность обнаружения и масштабы ущерба
Солнечные вспышки (Sunburst) были обнаружены не системами защиты взломанных компаний, а сторонней кибербезопасностной фирмой FireEye, которая сама стала жертвой атаки. Это показало уровень изощрённости: атака была нацелена на организации с продвинутыми командами информационной безопасности.
Второй этап атаки был ещё более точечным. Из тысяч заражённых систем злоумышленники отбирали наиболее ценные цели — примерно 100 организаций. Для них через бэкдор SUNBURST загружались дополнительные инструменты, такие как TEARDROP, для скрытного перемещения по сети, сбора данных и их извлечения. Этот этап часто называют «атакой внутри атаки».
Ущерб был колоссальным и не сводился только к украденным данным. Под угрозой оказалась основа цифрового доверия: могут ли организации доверять официальным каналам обновлений? Инцидент привёл к многомесячным дорогостоящим расследованиям, принудительной замене программного обеспечения и пересмотру контрактов с вендорами по всему миру. Операционные издержки для пострадавших компаний исчислялись десятками миллионов долларов.
Что изменилось после SolarWinds в России
В российском регуляторном поле инцидент стал катализатором. ФСТЭК России выпустила ряд методических рекомендаций, усиливая фокус на безопасности жизнен ного цикла ПО. Теперь под пристальным вниманием находятся не только импортное, но и отечественное программное обеспечение, особенно используемое в государственных информационных системах и инфраструктуре значимых объектов.
Ключевые изменения касаются нескольких областей:
- Верификация цепочек поставок. Требуется проводить анализ рисков для всех компонентов ПО, включая сторонние библиотеки и процессы сборки. Появилась практика составления программных билл материалов (SBOM) — своеобразной декла andции состава ПО.
- Контроль целостности и подлинности. Усилены требования к процедурам подписания кода и проверке цифровых подписей не формально, а с привязкой к доверенным хранилищам сертификатов.
- Сегментация и мониторинг. Для систем, где используется ПО критичных вендоров, рекомендуется применять дополнительную сегментацию сети и настраивать поведенческий анализ сетевой активности, обращая особое внимание на исходящий трафик к доменам обновлений.
Фактически, инцидент сместил парадигму от «защиты периметра» к «постоянному недоверию», даже к легитимным компонентам инфраструктуры. В рекомендациях ФСТЭК теперь прямо указано на необходимость планирования мер реагирования на инциденты, связанные с компрометацией доверенного программного обеспечения.
Выводы для настоящего, а не для учебника
SolarWinds не был взломом из-за одной уязвимости нулевого дня. Это была многоступенчатая операция, эксплуатирующая фундаментальные пробелы в процессах. Спустя годы основные риски никуда не делись.
Многие компании по-прежнему слепо доверяют цифровым подписям вендоров, не имея механизмов для проверки, был ли сертификат скомпрометирован. Процессы сборки ПО часто остаются слабым звеном, защищённым лишь стандартными паролями. А поведенческий анализ сетевого трафика настраивается на поиск известных угроз, в то время как легитимный трафик к облачным сервисам редко подвергается глубокой инспекции.
Главный итог SolarWinds в том, что он сделал кибербезопасность задачей не только для ИБ-отделов, но и для служб закупок, юристов и топ-менеджмента. Выбор вендора, условия контракта о кибербезопасности, право на аудит его процессов — теперь это такие же critical control points, как настройка межсетевого экрана. Атака через цепь поставок доказала, что безопасность системы равна безопасности самого ненадёжного из её доверенных компонентов.