Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Совместное расследование SolarWinds и сторонних ИБ-экспертов показало, что за внедрение бэкдора Sunburst в обновления софта, раздаваемые с платформы Orion, отвечал особый зловред. Авторы атаки на поставщика ИТ-услуг развернули этот код в среде сборки Orion еще в начале сентября 2019 года.

Первоначально считалось, что взлом сети SolarWinds произошел в начале прошлого года. В результате злоумышленникам удалось получить доступ к мониторинговой платформе Orion, а точнее — к системе сборки софта и создания цифровой подписи кода.

Как оказалось, конечной целью этой атаки являлось проникновение в ИТ-инфраструктуру клиентов SolarWinds, и такую возможность взломщики получили посредством внедрения бэкдора в обновления, компонуемые средствами Orion. Компрометация этой платформы, по некоторым оценкам, затронула несколько десятков тысяч подписчиков.

Дальнейший разбор атаки позволил установить, что для скрытного внедрения бэкдора, которому эксперты присвоили кодовое имя Sunburst, злоумышленники использовали специальный код — в CrowdStrike его нарекли Sunspot. После установки на сервер этот зловред (taskhostsvc.exe) присваивает себе привилегии отладчика и приступает к перехвату рабочего потока сборки Orion.

«Sunspot отслеживает запущенные процессы, фиксируя те, что вовлечены в компиляцию Orion продукта, и подменяет один из файлов исходного кода, чтобы включить в итог бэкдор Sunburst», — пишут исследователи в блоге.

Согласно новым результатам расследования, тестирование Sunspot началось в середине сентября 2019 года. В третьей декаде февраля 2020-го эта техника была пущена в ход: с Orion начали раздаваться вредоносные обновления.

Кто является инициатором атаки на SolarWinds, до сих пор не установлено. Спецслужбы США склонны усматривать в ней российский след. Последние результаты анализа кода Sunburst, полученные в «Лаборатории Касперского», свидетельствуют в пользу этой гипотезы: эксперты выявили его сходство с другим бэкдором — Kazuar, которым пользовалась APT-группа Turla, предположительно российского происхождения.

Банки и операторы заплатят за ошибки, которые помогли мошенникам

Россиянам могут начать возвращать деньги, переведённые телефонным мошенникам, если преступление стало возможным из-за нарушений банка или оператора связи. Процедуру компенсаций прописали в проектах постановлений к пакету «Антифрод 2.0».

Схема такая: пострадавший обращается в банк и сообщает, что отправил деньги под влиянием мошенников. Банк проверяет, должен ли был распознать подозрительную операцию и остановить перевод. Если пропустил, возмещает ущерб сам.

Если банк всё сделал правильно, заявление отправят оператору связи. Тот должен выяснить, мог ли вовремя обнаружить мошеннический номер и заблокировать его. Если ошибка была на стороне оператора, платить придётся ему.

При положительном решении деньги должны вернуть в течение 30 дней. Для трансграничных переводов срок увеличивается до 60 дней. Лимитов по размеру компенсации в финальной версии не предусмотрено.

Но автоматической страховки от любой доверчивости не будет. Если и банк, и оператор выполнили все требования, а клиент всё равно сам передал код, пароль или перевёл деньги, компенсация ему не положена.

Параллельно власти дорабатывают систему «Антифрод». Банки, операторы и ведомства будут автоматически обмениваться данными о подозрительных номерах.

В базу могут попадать телефоны, с которых рассылают фальшивые сообщения от имени «Госуслуг» или ведут незаконные массовые обзвоны. Для ошибочно внесённых номеров предусмотрят процедуру удаления.

RSS: Новости на портале Anti-Malware.ru