В январе 2021 года стало известно, что ИБ-компания Malwarebytes пострадала от рук тех же хакеров, что атаковали компанию SolarWinds. При этом подчеркивалось, что Malwarebytes вообще не пользовалась продуктами SolarWinds, не устанавливала зараженную малварью версию Orion, а злоумышленники использовали «другой вектор вторжения», чтобы получить доступ к ее внутренним письмам.

Теперь Брэндон Уэльс (Brandon Wales), исполняющий обязанности главы Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), заявил, что в целом около трети компаний, атакованных этими хакерами, не имели прямого отношения к SolarWinds.

«[Хакеры] получали доступ к своим целям разными способами. Эти злоумышленники проявили изобретательность... Совершенно верно, что эту кампанию нельзя рассматривать как часть кампанию против SolarWinds», — говорит Уэльс.

Так, во многих случаях злоумышленники проникали в сети своих жертв, используя технику password spraying для взлома отдельных учетных записей электронной почты в целевых организациях. Проникнув в систему, хакеры применяли множество сложных атак, направленных на повышение привилегий и обход аутентификации в облачных сервисах Microsoft. К примеру, еще одна цель этих атак, компания CrowdStrike, заявила, что злоумышленник безуспешно пытался прочитать ее электронную почту, используя взломанный аккаунт реселлера Microsoft, с которым работала компания.

По данным The Wall Street Journal, специалисты SolarWinds в настоящее время изучают возможность того, что именно проблемы в продуктах Microsoft стали основным вектором проникновения злоумышленников в сеть компании. Хотя в декабре прошлого года представители Microsoft заявляли, что злоумышленники получили доступ к корпоративной сети компании и добрались до внутренних исходников, но не было обнаружено никаких признаков того, что системы Microsoft использовались для атак на другие компании и организации.

Напомню, что атаку на SolarWinds приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).

В декабре 2020 года стало известно, что неизвестные злоумышленники атаковали ком­панию SolarWinds и зарази­ли ее платформу Orion мал­варью. Сог­ласно офи­циаль­ным дан­ным, среди 300 000 кли­ентов SolarWinds толь­ко 33 000 исполь­зовали Orion, а заражен­ная вер­сия платформы была уста­нов­лена при­мер­но у 18 000 кли­ентов. В результате среди пос­тра­дав­ших оказались такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.

Оставить мнение