Сразу несколько ИБ-компаний обнародовали списки клиентов SolarWinds, пострадавших в результате взлома компании и заражения платформы Orion малварью. Среди жертв хакеров технологические компании, местные органы власти, университеты, больницы, банки, операторы связи и многие другие.

Среди наиболее известных имен можно перечислить Cisco, SAP, Intel, Cox Communications, Deloitte, Nvidia, Fujitsu, Belkin, Amerisafe, Lukoil, Rakuten, Check Point, Optimizely, Digital Reach и Digital Sense. Также предполагается, что в ходе инцидента пострадала и компания MediaTek, один из крупнейших в мире производителей полупроводников, хотя исследователи пока не уверены на 100%.

Напомню, что малварь, которая распространялась с помощью вредоносных версий Orion (выпущенных в период с марта по июнь 2020), получила кодовое имя SUNBURST (она же Solorigate). Согласно отчетам MicrosoftFireEyeMcAfeeSymantec, «Лаборатории Касперского» и Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), в зараженных системах малварь  собирала информацию о сети компании-жертвы, выжидала 12-14 дней, а затем отправляла эти данные на удаленный сервер злоумышленников. Если после этого операторы малвари признавали сеть компании интересной, она развивали атаку далее и продолжали сбор информации.

По официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена у 18 000 клиентов. Изначально считалось, что выявить всех пострадавших смогут только сами специалисты SolarWinds, но по мере того, как другие эксперты продолжали изучать работу SUNBURST, они обнаружили некоторые особенности в работе малвари. Например, связанные с тем, как она пингует свой управляющий сервер.

Выяснилось, что SUNBURST отправляет данные, собранные в зараженной сети, на URL-адрес своего C&C-сервера, уникальный для каждой жертвы. Уникальные URL-адреса были поддоменами avsvmcloud[.]com и состояли из четырех частей, первая из которых представляла собой на первый взгляд случайную строку. Однако скоро ИБ-исследователи заметили, что эта строка на самом деле не была случайной, а содержала закодированное имя домена локальной сети жертвы.

В итоге сразу несколько компаний и независимых исследователей взялись проанализировать историю трафика и данные passive DNS, чтобы собрать информацию о трафике avsvmcloud[.]com, обнаружить поддомены, а затем вычислить компании, которые установили зараженные версии Orion

В результате еще в конце прошлой недели публикацию списков пострадавших компаний и организаций начали эксперты из TrueSec и Prevasio, независимый исследователь  Деван Чаудхари (Dewan Chowdhury), а также китайская фирма QiAnXin.

Напомню, что, по данным FireEye, невзирая на компрометацию 18 000 клиентов SolarWinds, хакеры продолжили атаку лишь на сети 50 компаний. Эксперты Microsoft, в свою очередь, писали о том, что сумели идентифицировать около 40 пострадавших из числа своих клиентов.

Развитие атаки обычно происходило в том случае, если управляющий сервер avsvmcloud[.]cxom отвечал малвари специфическим DNS-ответом с определенным полем CNAME. Это специальное поле содержало адрес второго управляющего сервера, с которого SUNBURST мог получить дополнительные команды и иногда загрузить еще малварь.

В настоящее время точно известно лишь об одной компании, взлом которой продолжили хакеры — это ИБ-компания FireEye, чья реакция на атаку и пролила свет на компрометацию SolarWinds в целом.

Издание ZDNet пишет, что в настоящее время многие в ИБ-сообществе работают с сетями доставки контента, поставщиками интернет-услуг и другими компаниями для сбора данных passive DNS и отслеживания трафика avsvmcloud[.]com. Вся эта активность направлена на выявление других жертв, к сетям которых злоумышленники так же могли получить углубленный доступ. Журналисты приводят ​​таблицу, составленную вышеупомянутой компаний Truesec, где содержатся декодированные внутренние доменные имена для некоторых жертв компрометации SolarWinds.

Оставить мнение