Большой передел мира
270,281,826 525,479
 

  DeC ( Профессионал )
12 янв 2021 18:52:12

SolarWinds

новая дискуссия Дискуссия  139

CrowdStrike перехватывает эстафету публикаций про взлом SolarWinds.

Американские исследователи, участвующие в расследовании кибератаки, обнаружили новый вредонос, который они назвали Sunspot и который использовался хакерами для доставки трояна Sunburst в сборку ПО Orion.

Sunspot был размещен на сервере сборки ПО и мониторил процессы MsBuild.exe с целью выявления процесса сборки SolarWinds Orion. Если он находил такой процесс, то аккуратно внедрял в сборку Sunburst. При этом хакеры тщательно соблюдали меры OpSec и старательно избегали возможных сбоев при сборке Orion, чтобы исключить обнаружение работы вредоносов.

Согласно анализу Sunspot был создан во второй половине февраля 2020 года, что, в целом, соответствует предполагаемому таймлайну атаки.

CrowdStrike очень осторожно касаются вопроса в отношении актора, осуществившего кибероперацию. Исследователи дали ему внутреннее название StellarParticle и подчеркивают отсутствие какой-либо атрибуции с известными APT.

Определенно, положительным моментом являются характеризующие Sunspot TTPs, которые CrowdStrike разметили в своем отчете и которые могут быть впоследствии использованы сторонними экспертами для атрибуции стоящей за атакой хакерской группы.

А пока что Sunburst выглядит все более впечатляющей операцией.



Подмигивающий
  • +2.13 / 29
  • АУ
ОТВЕТЫ (1)
 
 
  adolfus ( Практикант )
13 янв 2021 13:23:18

Это означает, что либо сервер сборки был взломан, либо разместил sunspot админ этого сервера, а разработчики SolarWinds Orion ни при делах.


 
  • -0.11 / 4
  • АУ