Большой передел мира
266,923,536
522,119
|
DeC ( Профессионал ) |
| 23 дек 2020 00:08:16 |
SolarWinds
новая дискуссия Дискуссия 301
В сеть стратегически важного поставщика IT-решений для американских правительственных организаций SolarWinds хакеры ходят как к себе домой.
Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.
Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе, не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.
Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.
Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.
Вскоре после публикации FireEye материалов в отношении выявленной компрометации SolarWinds и заражения NMS Orion бэкдором SUNBURST, ряд инфосек вендоров, например Symantec и Palo Alto Networks, упоминали веб-шелл Supernova, с помощью которого хакеры доставляли бэкдор CosmicGale.
Однако теперь оказывается, что Supernova, похоже, принадлежит другой хакерской группе, не являющейся автором атаки SUNBURST. В частности, Supernova не был подписан легитимным сертификатом, в отличие от SUNBURST.
Ник Карр, исследователь Microsoft, предполагает, что Supernova были заражены установки SolarWinds Orion, которые были открыты в сети, и для этого использовались эксплойты некой уязвимости, аналогичной CVE-2019-8917 (дырка в Orion, закрытая в конце 2018 года). Но до конца еще ничего не понятно и вполне возможно, что сеть SolarWinds была взломана не только авторами SUNBURST.
Ну и, в общем-то, мы уже не удивляемся второй хакерской группе, скомпрометировавшей ПО SolarWinds, особенно вспоминая их проблемы с безопасностью.
ОТВЕТЫ (3)
|
|
DeC ( Профессионал ) |
| 23 дек 2020 00:09:22 |
Цитата: DeC от 23.12.2020 00:08:16
И в продолжение темы атаки SUNBURST.
Различные команды и отдельные исследователи продолжают работу по составлению списка компаний и организаций, SolarWinds Orion которых были заражены.
Помогает им в этом особенность связи бэкдора со своим управляющим центром. Как оказалось, для каждой зараженной сети использовался свой поддомен на avsvmcloud .com, в имени которого содержалось закодированное имя домена атакованной сети. Теперь исследователи проводят анализ трафика avsvmcloud .com, чтобы установить эти поддомены и отследить взломанные сети.
Среди уже установленных жертв - Cisco, Intel, SAP, Nvidia, Fujitsu, Check Point и другие. Отдельный интерес представляет возможная компрометация сети Лукойла, что несколько портит стройную теорию о заговоре русских хакеров из ГРУ, поэтому про нее особо и не пишут.
|
xrvr ( Специалист ) |
| 23 дек 2020 02:08:47 |
Цитата: DeC от 23.12.2020 00:08:16
Это только начало
Представляете себе миллионы людей из правительства, банков, обороны и т.д., которые сейчас работают из дома?
|
bb1788 ( Практикант ) |
| 23 дек 2020 08:58:26 |
Сообщение удалено
bb1788
19 дек 2021 09:43:11
bb1788
19 дек 2021 09:43:11
Отредактировано: bb1788 - 19 дек 2021 09:43:11