Orion

  • Нов малуер е открит при разследването на атаката на SolarWinds

    Последен ъпдейт на 16 януари 2021 в 15:53 ч.

    Експлоатирането на уязвимости срещу платформата на SolarWinds – Orion, използванo в компрометирането на американското правителство, продължава да разширява мащаба си. Поредното развитие по казуса е открито от компанията за киберсигурност CrowdStrike – става въпрос за уязвимост, озаглавена Sunspot.

    Благодарение на нея, хакерите могат да инжектират backdoor в платформата Orion на SolarWinds. Този зловреден код наблюдава изпълняваните системни процеси и замества един от изходните файлове със друг зловреден софтуер – SUNBURST. Част от функционалността на Sunspot е включването на защити, които да попречат присъствието му да бъде разкрито и да гарантират успеха на „мисията“ му.

    Към момента общият брой на известните жертви на уязвимостите в Orion вече е над 18 хил. Сред тях са редица американски правителствени агенции.

    “Щамът” на Sunspot не е непознат на разследващите supply chain атаката. До момента той е наричан по-различен начин от различните киберизследователи – StellarParticle (от CrowdStrike), UNC2452 (от FireEye) и Dark Halo (от Volexity).

    Sunspot е поредният злонамерен софтуер, свързан с най-големия киберпробив от години. До момента станаха известни:

    • Sunburst, инсталирал троянски кон в платформата Орион по време на автоматична актуализация
    • Teardrop, използван за инсталиране на софтуерно устройство за навигация (Cobalt Strike beacon)
    • SuperNova, внедрен като DLL файл, който позволява на атакуващите да изпращат, компилират и изпълняват C# код от разстояние
    Източник: SolarWinds
    Източник: SolarWinds

    Самоличността на хакерите на SolarWinds все още не е разкрита. Въпреки това Kaspersky направи връзка с известна по-рано група за кибершпионаж. Установи, че задната врата на Sunburst има припокривания на функции с Kazuar.NET backdoor, обвързан условно с руската хакерска група Turla.

    Разбира се, възможно е нападателите да са били „вдъхновени“ от кода на Kazuar или и двете групи да са получили своя зловреден софтуер от един и същ източник или пък кодът да е използван в атаката специално, за да обвини Turla и да замеси Москва…

    Междувременно, ФБР също разследва предполагаема руска следа в атаката срещу американското правителство.

Back to top button