SolarWinds

новая дискуссия Дискуссия  120

CrowdStrike перехватывает эстафету публикаций про взлом SolarWinds.

Американские исследователи, участвующие в расследовании кибератаки, обнаружили новый вредонос, который они назвали Sunspot и который использовался хакерами для доставки трояна Sunburst в сборку ПО Orion.

Sunspot был размещен на сервере сборки ПО и мониторил процессы MsBuild.exe с целью выявления процесса сборки SolarWinds Orion. Если он находил такой процесс, то аккуратно внедрял в сборку Sunburst. При этом хакеры тщательно соблюдали меры OpSec и старательно избегали возможных сбоев при сборке Orion, чтобы исключить обнаружение работы вредоносов.

Согласно анализу Sunspot был создан во второй половине февраля 2020 года, что, в целом, соответствует предполагаемому таймлайну атаки.

CrowdStrike очень осторожно касаются вопроса в отношении актора, осуществившего кибероперацию. Исследователи дали ему внутреннее название StellarParticle и подчеркивают отсутствие какой-либо атрибуции с известными APT.

Определенно, положительным моментом являются характеризующие Sunspot TTPs, которые CrowdStrike разметили в своем отчете и которые могут быть впоследствии использованы сторонними экспертами для атрибуции стоящей за атакой хакерской группы.

А пока что Sunburst выглядит все более впечатляющей операцией.

• +2.13 / 29