Опубликованы списки потенциальных жертв атаки на SolarWinds Orion

Татьяна Никитина 22 Декабря 2020 - 14:45

Таргетированные атаки

...

Опубликованы списки потенциальных жертв атаки на SolarWinds Orion

Изучение бэкдора Sunburst и алгоритма DGA, используемых взломщиками мониторинговой платформы SolarWinds Orion, позволило выявить от 100 до 280 организаций, затронутых атакой.

Среди потенциальных жертв заражения числятся федеральные ведомства США, ИТ-компании, учебные заведения, медицинские учреждения, банки и телеком-провайдеры.

По первоначальной оценке SolarWinds, взлом ее систем затронул порядка 18 тыс. пользователей ИТ-платформы. В частности, забэкдоренные версии обновлений клиента Orion могли установить такие известные компании, как Cisco, SAP, Intel, MediaTek, Check Point, Cox Communications, Deloitte, Nvidia, Fujitsu, Belkin, Amerisafe и «Лукойл».

Разработчики мониторингового ИТ-сервиса выпустили «горячие заплатки», устраняющие бэкдор. Эти хотфиксы включены в состав накопительных обновлений Orion Platform 2020.2.1 HF 2 и Orion Platform 2019.4 HF 6, которые пользователям настоятельно рекомендуется установить в кратчайшие сроки. Выпуски Orion Platform 2019.4 HF 4 и ниже атака не затронула, и они считаются чистыми.

Обратный инжиниринг Sunburst, проведенный в Microsoft, FireEye, McAfee, Symantec и Kaspersky, показал, что этот зловред собирает информацию о внутренней сети жертвы, ждет пару недель, а затем отсылает результат на C2-сервер, размещенный в домене avsvmcloud[.]com. На основании этих данных злоумышленники производят оценку перспективности мишени и принимают решение — продолжить атаку загрузой других зловредов или оставить бэкдор в резерве.

Как оказалось, URL командного сервера Sunburst генерируются по DGA и содержат строку с закодированным именем домена жертвы. Сервер злоумышленников Microsoft и FireEye уже подменили по методу sinkhole, а создаваемые с помощью DGA поддомены в настоящее время расшифровываются с целью уточнения масштабов распространения инфекции.

Репортер ZDNet ознакомился с текущими публикациями исследователей и в своей заметке привел один из списков затронутых организаций, который удалось составить по результатам расшифровки доменных имен, используемых зловредом для генерации уникальных URL.

Компании Cisco, Intel, VMWare и Microsoft официально подтвердили заражение, но свидетельств появления других вредоносов в своих сетях они не нашли. Сорока клиентам Microsoft, как оказалось, повезло меньше: установка забэкдоренного обновления повлекла продолжение атаки. Первая известная жертва Sunburst, ИБ-компания FireEye, тоже столкнулась с более серьезными последствиями.

В настоящее время специалисты по ИБ вместе с интернет-провайдерами собирают данные по трафику в домене avsvmcloud[.]com для идентификации других жертв заражения и последующей эскалации атаки.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 07:20

Соответствие законодательству РФ Корпорации Государство Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Совещание в Минцифры уже аукается рынку: часть ИТ-проектов приостановлена

После совещания в Минцифры часть ИТ-компаний начала ставить некоторые проекты на паузу. одна из причин — неопределённость вокруг будущих ограничений на использование VPN и списка сервисов, которые могут попасть под запрет.

Как сообщает телеграм-канал «Время госзакупок» со ссылкой на источник в отрасли, проблема затрагивает не только частный рынок, но и довольно чувствительные для государства процессы.

Речь, в частности, идёт о проектах, связанных с переходом на отечественное ПО и модернизацией критической информационной инфраструктуры. Ситуация осложняется тем, что даже крупные ИТ-компании нередко привлекают senior-специалистов, находящихся за рубежом. Если доступ к привычным инструментам удалённой работы начнёт сбоить, это может заметно замедлить такие проекты.

Под ударом оказываются и госзаказы. В эти цепочки вовлечено много небольших ИТ-компаний и субподрядчиков, и часть из них уже предупредила заказчиков, что временно приостанавливает работы, пока не станет понятнее, как именно будут действовать ограничения и какие VPN-сервисы окажутся вне закона.

Интересно, что сама идея блокировать VPN на крупных интернет-площадках выглядит куда сложнее, чем может показаться на бумаге, отмечают специалисты. Главная проблема — как отличить пользователя, который действительно заходит через средство обхода блокировок, от человека, который просто подключается из другой страны или использует корпоративный VPN.

Один из самых простых вариантов, о которых говорят специалисты, — вообще не пускать пользователей, заходящих из-за рубежа. Но это, мягко говоря, слишком грубое решение. Более реалистичный сценарий — использование скоринговых моделей, которые будут оценивать множество параметров: IP-адрес, язык устройства, настройки региона, поведение пользователя и другие косвенные признаки.

Звучит технологично, но на практике всё не так красиво: для такой схемы нужно собирать и анализировать большой объём данных, а это требует серьёзных вычислительных мощностей, дополнительных команд разработки и постоянной поддержки. К тому же риск ложных срабатываний здесь очень высокий. Проще говоря, под раздачу могут попасть и вполне легальные пользователи.

Напомним, Минцифры попросило крупнейшие российские цифровые платформы — от «Яндекса» и VK до маркетплейсов, онлайн-кинотеатров и сервисов объявлений — подключиться к ограничению VPN с середины апреля. Если компании не согласятся, они, по данным издания, рискуют лишиться аккредитации Минцифры.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!