В прошлом году стало известно, что компания SolarWinds, которая разрабатывает для предприятий ПО, помогающее управлять их сетями, системами и инфраструктурой, подверглась взлому. Эту атаку на цепочку поставок приписывают предположительно русскоязычной хак-группе, которую ИБ-эксперты отслеживают под названиями StellarParticle (CrowdStrike), UNC2452 (FireEye) и Dark Halo (Volexity).
Проникнув в сеть SolarWinds, злоумышленники снабдили платформу Orion, предназначенную для централизованного мониторинга и управления, вредоносным обновлением. В результате множество клиентов SolarWinds установили зараженную версию платформы и, сами того не зная, впустили хакеров в свои сети. Среди пострадавших числятся такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
Ранее эксперты, занимающиеся расследованием произошедшего, описывали четыре вредоноса, которые хакеры задействовали в ходе этой кампании:
- Sunspot — малварь, которую хакеры развернули во внутренней сети SolarWinds, чтобы внедриться в процесс сборки Orion;
- Solorigate (Sunburst) — малварь, внедренная в обновления Orion в марте-июне 2020 года. Использовалась для разведки, с ее помощью злоумышленники идентифицировали интересующие их компании;
- Teardrop — малварь развернутая хакерами в выбранных сетях через Sunburst, использовалась как бэкдор для выполнения других команд;
- Raindrop — еще один второстепенный бэкдор, развернутый в сетях некоторых жертв вместо Teardrop.
На этой неделе ИБ-эксперты из Microsoft и FireEye опубликовали новые отчеты еще о трех угрозах, которые хакеры применяли во время атаки на SolarWinds и ее клиентов. В отчете Microsoft рассказывается обо всех трех вредоносах, в отчете FireEye лишь об одном из них:
- GoldMax — бэкдор на основе Go, который хакеры использовали для выполнения различных команд в уже скомпрометированных системах. Малварь детально описана в отчете FireEye под названием SUNSHUTTLE;
- Sibot — VBScript-вредонос, предназначенный для обеспечения устойчивого присутствия на зараженных хостах (были обнаружены три различных варианта);
- GoldFinger — еще один вредонос, написанный на Go. Использовался в качестве HTTP-трекера и регистрировал маршруты, по которым пакеты добираются до управляющего сервера.
Microsoft сообщает, что эти вредоносы были обнаружены в сетях некоторых пострадавших компаний, скомпрометированных в прошлом году. В некоторых случаях малварь была установлена еще в июне 2020 года, а в других случаях использовалась недавно, к примеру, в сентябре 2020 года.
Внедряли малварь разными способами. Так, некоторые жертвы были скомпрометированы с помощью вредоносного обновления Orion, тогда как другие были заражены той же малварью, но уже после того, как хакеры получили доступ к учетным данным для внутренней сети компании.
Эксперты Microsoft заявляют, что все обнаруженные угрозы связаны с тем же злоумышленником, который скомпрометировал Orion. На этот раз компания впервые официально назвала ответственную за атаку хакерскую группу, присвоив ей имя Nobelium.
«Они были созданы специально для конкретных сетей и задействовались лишь после того, как атакующие получат доступ [к сети жертвы] с помощью скомпрометированных учетных данных или бинарника SolarWinds, а также после бокового перемещения с помощью TEARDROP и других действий, выполненных вручную.
На всех этапах атаки злоумышленники демонстрировали глубокое знание программных инструментов, структур, защитных решений, распространенных в подобных сетях систем, а также методов работы, часто используемых группами реагирования на инциденты. Эти познания отражались в операционных решениях атакующих, начиная от выбора C&C-инфраструктур и заканчивая именами запланированных задач, используемых для поддержания устойчивости», — пишут в Microsoft.
