В прошлом году стало известно, что компания SolarWinds, которая раз­рабаты­вает для предприятий ПО, помога­ющее управлять их сетями, сис­темами и инфраструк­турой, подверглась взлому. Эту атаку на цепочку поставок приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).

Про­ник­нув в сеть SolarWinds, зло­умыш­ленни­ки снаб­дили плат­форму Orion, пред­назна­чен­ную для цен­тра­лизо­ван­ного монито­рин­га и управле­ния, вре­донос­ным обновле­нием. В резуль­тате множес­тво кли­ентов SolarWinds уста­нови­ли заражен­ную вер­сию плат­формы и, сами того не зная, впус­тили хакеров в свои сети. Сре­ди пос­тра­дав­ших чис­лятся такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.

Ранее эксперты, занимающиеся расследованием произошедшего, описывали четыре вредоноса, которые хакеры задействовали в ходе этой кампании:

  • Sunspot — малварь, которую хакеры развернули во внутренней сети SolarWinds, чтобы внедриться в процесс сборки Orion;
  • Solorigate (Sunburst) — малварь, внедренная в обновления Orion в марте-июне 2020 года. Использовалась для разведки, с ее помощью злоумышленники идентифицировали интересующие их компании;
  • Teardrop — малварь развернутая хакерами в выбранных сетях через Sunburst, использовалась как бэкдор для выполнения других команд;
  • Raindrop — еще один второстепенный бэкдор, развернутый в сетях некоторых жертв вместо Teardrop.

На этой неделе ИБ-эксперты из Microsoft и FireEye опубликовали новые отчеты еще о трех угрозах, которые хакеры применяли во время атаки на SolarWinds и ее клиентов. В отчете Microsoft рассказывается обо всех трех вредоносах, в отчете FireEye лишь об одном из них:

  • GoldMax — бэкдор на основе Go, который хакеры использовали для выполнения различных команд в уже скомпрометированных системах. Малварь детально описана в отчете FireEye под названием SUNSHUTTLE;
  • Sibot — VBScript-вредонос, предназначенный для обеспечения устойчивого присутствия на зараженных хостах (были обнаружены три различных варианта);
  • GoldFinger — еще один вредонос, написанный на Go. Использовался в качестве HTTP-трекера и регистрировал маршруты, по которым пакеты добираются до управляющего сервера.

Microsoft сообщает, что эти вредоносы были обнаружены в сетях некоторых пострадавших компаний, скомпрометированных в прошлом году. В некоторых случаях малварь была установлена еще в июне 2020 года, а в других случаях использовалась недавно, к примеру, в сентябре 2020 года.

Внедряли малварь разными способами. Так, некоторые жертвы были скомпрометированы с помощью вредоносного обновления Orion, тогда как другие были заражены той же малварью, но уже после того, как хакеры получили доступ к учетным данным для внутренней сети компании.

Эксперты Microsoft заявляют, что все обнаруженные угрозы связаны с тем же злоумышленником, который скомпрометировал Orion. На этот раз компания впервые официально назвала ответственную за атаку хакерскую группу, присвоив ей имя Nobelium.

«Они были созданы специально для конкретных сетей и задействовались лишь после того, как атакующие получат доступ [к сети жертвы] с помощью скомпрометированных учетных данных или бинарника SolarWinds, а также после бокового перемещения с помощью TEARDROP и других действий, выполненных вручную.

На всех этапах атаки злоумышленники демонстрировали глубокое знание программных инструментов, структур, защитных решений, распространенных в подобных сетях систем, а также методов работы, часто используемых группами реагирования на инциденты. Эти познания отражались в операционных решениях атакующих, начиная от выбора C&C-инфраструктур и заканчивая именами запланированных задач, используемых для поддержания устойчивости», — пишут в Microsoft.

Оставить мнение