Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Совместное расследование SolarWinds и сторонних ИБ-экспертов показало, что за внедрение бэкдора Sunburst в обновления софта, раздаваемые с платформы Orion, отвечал особый зловред. Авторы атаки на поставщика ИТ-услуг развернули этот код в среде сборки Orion еще в начале сентября 2019 года.

Первоначально считалось, что взлом сети SolarWinds произошел в начале прошлого года. В результате злоумышленникам удалось получить доступ к мониторинговой платформе Orion, а точнее — к системе сборки софта и создания цифровой подписи кода.

Как оказалось, конечной целью этой атаки являлось проникновение в ИТ-инфраструктуру клиентов SolarWinds, и такую возможность взломщики получили посредством внедрения бэкдора в обновления, компонуемые средствами Orion. Компрометация этой платформы, по некоторым оценкам, затронула несколько десятков тысяч подписчиков.

Дальнейший разбор атаки позволил установить, что для скрытного внедрения бэкдора, которому эксперты присвоили кодовое имя Sunburst, злоумышленники использовали специальный код — в CrowdStrike его нарекли Sunspot. После установки на сервер этот зловред (taskhostsvc.exe) присваивает себе привилегии отладчика и приступает к перехвату рабочего потока сборки Orion.

«Sunspot отслеживает запущенные процессы, фиксируя те, что вовлечены в компиляцию Orion продукта, и подменяет один из файлов исходного кода, чтобы включить в итог бэкдор Sunburst», — пишут исследователи в блоге.

Согласно новым результатам расследования, тестирование Sunspot началось в середине сентября 2019 года. В третьей декаде февраля 2020-го эта техника была пущена в ход: с Orion начали раздаваться вредоносные обновления.

Кто является инициатором атаки на SolarWinds, до сих пор не установлено. Спецслужбы США склонны усматривать в ней российский след. Последние результаты анализа кода Sunburst, полученные в «Лаборатории Касперского», свидетельствуют в пользу этой гипотезы: эксперты выявили его сходство с другим бэкдором — Kazuar, которым пользовалась APT-группа Turla, предположительно российского происхождения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Во Владивостоке распространяют видеодипфейк о повышении платы за проезд

В Сети распространилось видео, в котором мэр Владивостока Константин Шестаков якобы заявляет о повышении стоимости проезда в городском транспорте на 50% из-за дефицита топлива. Ролик быстро начали транслировать местные СМИ, вызвав резонанс среди горожан. Однако в действительности это оказался дипфейк, созданный с использованием технологий нейросетей.

Администрация города оперативно выпустила опровержение, подчеркнув, что видео не является подлинным. Для проверки был задействован комплекс «Зефир», разработанный АНО «Регионы», который подтвердил, что ролик действительно сгенерирован искусственным интеллектом.

Администрация Приморского края также опровергла информацию о росте цен. Губернатор края заявил, что ситуацию контролируют антимонопольные органы и дефицита топлива в регионе не допускают.

Как отметил телеграм-канал «Лапша Медиа», в основе поддельного ролика оказалось видео от 25 августа, где Шестаков предупреждал жителей о надвигающихся ливнях.

По данным «Лапша Медиа», распространение подобных дипфейков не ограничивается Владивостоком. Похожие видео появляются и в других регионах страны. Их распространению способствует непростая ситуация на топливном рынке: сезонный рост спроса и проблемы с логистикой приводят к дефициту и росту цен.

Накануне МВД России сообщило, что атаки с использованием дипфейков приобрели массовый характер. Чаще всего они связаны с попытками обманом получить деньги, представляясь друзьями или знакомыми потенциальной жертвы.

В 2025 году также фиксируется заметный рост числа дипфейков политической направленности. Чаще всего «героями» таких видео становятся губернаторы российских регионов. Эксперты отмечают, что подобные подделки становятся инструментом для манипуляции общественными настроениями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru