Большой передел мира
266,657,751
521,973
|
DeC ( Профессионал ) |
| 12 янв 2021 18:52:12 |
SolarWinds
новая дискуссия Дискуссия 138
CrowdStrike перехватывает эстафету публикаций про взлом SolarWinds.
Американские исследователи, участвующие в расследовании кибератаки, обнаружили новый вредонос, который они назвали Sunspot и который использовался хакерами для доставки трояна Sunburst в сборку ПО Orion.
Sunspot был размещен на сервере сборки ПО и мониторил процессы MsBuild.exe с целью выявления процесса сборки SolarWinds Orion. Если он находил такой процесс, то аккуратно внедрял в сборку Sunburst. При этом хакеры тщательно соблюдали меры OpSec и старательно избегали возможных сбоев при сборке Orion, чтобы исключить обнаружение работы вредоносов.
Согласно анализу Sunspot был создан во второй половине февраля 2020 года, что, в целом, соответствует предполагаемому таймлайну атаки.
CrowdStrike очень осторожно касаются вопроса в отношении актора, осуществившего кибероперацию. Исследователи дали ему внутреннее название StellarParticle и подчеркивают отсутствие какой-либо атрибуции с известными APT.
Определенно, положительным моментом являются характеризующие Sunspot TTPs, которые CrowdStrike разметили в своем отчете и которые могут быть впоследствии использованы сторонними экспертами для атрибуции стоящей за атакой хакерской группы.
А пока что Sunburst выглядит все более впечатляющей операцией.
Американские исследователи, участвующие в расследовании кибератаки, обнаружили новый вредонос, который они назвали Sunspot и который использовался хакерами для доставки трояна Sunburst в сборку ПО Orion.
Sunspot был размещен на сервере сборки ПО и мониторил процессы MsBuild.exe с целью выявления процесса сборки SolarWinds Orion. Если он находил такой процесс, то аккуратно внедрял в сборку Sunburst. При этом хакеры тщательно соблюдали меры OpSec и старательно избегали возможных сбоев при сборке Orion, чтобы исключить обнаружение работы вредоносов.
Согласно анализу Sunspot был создан во второй половине февраля 2020 года, что, в целом, соответствует предполагаемому таймлайну атаки.
CrowdStrike очень осторожно касаются вопроса в отношении актора, осуществившего кибероперацию. Исследователи дали ему внутреннее название StellarParticle и подчеркивают отсутствие какой-либо атрибуции с известными APT.
Определенно, положительным моментом являются характеризующие Sunspot TTPs, которые CrowdStrike разметили в своем отчете и которые могут быть впоследствии использованы сторонними экспертами для атрибуции стоящей за атакой хакерской группы.
А пока что Sunburst выглядит все более впечатляющей операцией.
ОТВЕТЫ (1)
|
adolfus ( Практикант ) |
| 13 янв 2021 13:23:18 |
Цитата: DeC от 12.01.2021 18:52:12
Это означает, что либо сервер сборки был взломан, либо разместил sunspot админ этого сервера, а разработчики SolarWinds Orion ни при делах.