Открыть сервис

SolarWinds

SolarWinds — американская компания, разработчик программного обеспечения для управления информационными технологиями (IT-инфраструктурой), сетями и системами информационной безопасности. Основана в 1999 году, штаб-квартира расположена в Остине, штат Техас (США). Наиболее известна благодаря серии продуктов для мониторинга сетей (Network Performance Monitor, SolarWinds Orion Platform), а также в связи с масштабной кибератакой на цепочку поставок, получившей название «Соларвиндс» (SolarWinds hack), которая была раскрыта в декабре 2020 года.

История

Компания была основана в 1999 году Дональдом Юбертом (Donald Y. Yateman) и Брайаном Брауном (Brian Brown) в городе Талса, штат Оклахома. Первоначально SolarWinds специализировалась на разработке инструментов для сетевых администраторов, в частности, утилит для управления IP-адресами и мониторинга доступности устройств. В 2006 году компания переехала в Остин, штат Техас.

В 2008 году SolarWinds провела первичное публичное размещение акций (IPO) на Нью-Йоркской фондовой бирже (NYSE) под тикером SWI. В 2015 году компания была приобретена частной инвестиционной компанией Silver Lake Partners и канадским пенсионным фондом CPP Investment Board за 4,5 миллиарда долларов США, после чего акции были сняты с биржи. В 2018 году SolarWinds вновь вышла на биржу (NYSE: SWI).

В 2020 году компания оказалась в центре одного из крупнейших в истории инцидентов в области кибербезопасности, связанного с компрометацией её продукта Orion Platform. Атака была приписана группировке APT29 (Cozy Bear), связанной, по данным американских спецслужб, с правительством России. Расследование показало, что злоумышленники внедрили вредоносный код (бэкдор SUNBURST) в обновления программного обеспечения Orion, что позволило им получить доступ к сетям тысяч организаций по всему миру, включая правительственные учреждения США (Министерство финансов, Министерство внутренней безопасности, Министерство энергетики), а также крупные частные компании (Microsoft, FireEye, Cisco). Атака была раскрыта компанией FireEye, которая сама стала жертвой взлома.

После инцидента SolarWinds подверглась критике за недостатки в практике разработки и безопасности цепочки поставок. В 2022 году Комиссия по ценным бумагам и биржам США (SEC) подала иск против компании, обвинив её в введении инвесторов в заблуждение относительно мер кибербезопасности до и после атаки. В 2023 году SolarWinds урегулировала претензии SEC, выплатив штраф в размере 26 миллионов долларов США.

Продукты и платформы

Основной продуктовой линейкой SolarWinds является платформа Orion Platform, предоставляющая единую консоль для мониторинга и управления IT-инфраструктурой. Ключевые продукты включают:

  • Network Performance Monitor (NPM) — система мониторинга производительности сетей (сбор данных по SNMP, анализ трафика, обнаружение сбоев).
  • Server & Application Monitor (SAM)мониторинг серверов (Windows, Linux) и приложений (базы данных, веб-серверы, ERP-системы).
  • Database Performance Analyzer (DPA) — инструмент для анализа производительности баз данных (SQL, Oracle, MySQL).
  • Security Event Manager (SEM)система управления событиями безопасности (SIEM-решение).
  • Patch Manager — инструмент для автоматизации установки обновлений.
  • Web Help Desk — система управления запросами (тикет-система) для IT-поддержки.

Также компания предлагает облачные решения (SolarWinds Observability) и инструменты для управления IT-активами (IT Asset Management).

Кибератака 2020 года (Соларвиндс)

Хронология и механизм атаки

Атака на цепочку поставок SolarWinds была осуществлена через компрометацию процесса сборки и распространения обновлений для продукта Orion Platform (версии 2019.4 — 2020.2.1). Злоумышленники внедрили вредоносный код (бэкдор SUNBURST) в файл SolarWinds.Orion.Core.BusinessLayer.dll, который подписывался легитимным цифровым сертификатом SolarWinds. В результате обновления, содержащие бэкдор, были распространены через официальный репозиторий компании.

По оценкам, вредоносное обновление было загружено примерно 18 000 клиентами SolarWinds, включая государственные учреждения США, компании из списка Fortune 500 и технологические корпорации. Бэкдор SUNBURST позволял злоумышленникам выполнять команды на скомпрометированных системах, передавать данные и устанавливать дополнительное вредоносное ПО (например, троян TEARDROP).

Последствия и расследование

Масштаб атаки был признан беспрецедентным. В ответ на инцидент правительство США создало Совет по кибербезопасности (Cyber Safety Review Board), который в 2021 году опубликовал доклад с рекомендациями по усилению безопасности цепочки поставок. Атака привела к ужесточению требований к поставщикам программного обеспечения для государственных нужд (Executive Order 14028 «Improving the Nation’s Cybersecurity»).

Для SolarWinds атака обернулась значительными финансовыми и репутационными потерями. Компания потратила десятки миллионов долларов на расследование, модернизацию систем безопасности и юридические издержки. В 2022 году акционеры подали коллективный иск. В 2023 году SolarWinds объявила о внедрении новой модели безопасности (Secure by Design) и создании специальной группы по реагированию на инциденты.

Критика и судебные разбирательства

Основные претензии к SolarWinds касались недостаточного контроля за безопасностью процесса разработки и обновлений. В иске SEC утверждалось, что компания в течение нескольких лет до атаки игнорировала предупреждения о слабых местах в своей инфраструктуре, включая использование ненадёжных паролей (например, solarwinds123), отсутствие многофакторной аутентификации и неэффективную систему управления уязвимостями.

В ответ на критику SolarWinds заявила, что атака была осуществлена высококвалифицированным противником, а компания добросовестно выполняла требования безопасности. В 2023 году компания согласилась выплатить штраф SEC в размере 26 миллионов долларов, не признав при этом вины.

Влияние на индустрию

Инцидент с SolarWinds стал поворотным моментом в понимании рисков, связанных с цепочками поставок программного обеспечения. Он стимулировал развитие инициатив по созданию «манифестов безопасности» (Secure Software Development Framework, SSDF) и внедрение практик «нулевого доверия» (Zero Trust). Многие компании после атаки пересмотрели политики управления обновлениями и аудита стороннего кода.

В России инцидент также привлёк внимание специалистов по кибербезопасности, однако российские государственные органы и компании не были отмечены в качестве прямых жертв атаки. Тем не менее, случай SolarWinds используется в российском IT-сообществе как пример критической зависимости от зарубежного программного обеспечения и необходимости развития отечественных решений в области мониторинга и управления IT-инфраструктурой.

Источники

  1. Отчёт Cyber Safety Review Board о кибератаке SolarWinds (2021).
  2. Иск Комиссии по ценным бумагам и биржам США (SEC) против SolarWinds (2022).
  3. Публикации компании FireEye о раскрытии атаки SUNBURST (2020).
  4. Официальные пресс-релизы SolarWinds (2020–2023).
  5. Материалы расследования Reuters, The New York Times, The Washington Post (2020–2021).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →