Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Татьяна Никитина 12 Января 2021 - 18:27

Таргетированные атаки

...

Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Совместное расследование SolarWinds и сторонних ИБ-экспертов показало, что за внедрение бэкдора Sunburst в обновления софта, раздаваемые с платформы Orion, отвечал особый зловред. Авторы атаки на поставщика ИТ-услуг развернули этот код в среде сборки Orion еще в начале сентября 2019 года.

Первоначально считалось, что взлом сети SolarWinds произошел в начале прошлого года. В результате злоумышленникам удалось получить доступ к мониторинговой платформе Orion, а точнее — к системе сборки софта и создания цифровой подписи кода.

Как оказалось, конечной целью этой атаки являлось проникновение в ИТ-инфраструктуру клиентов SolarWinds, и такую возможность взломщики получили посредством внедрения бэкдора в обновления, компонуемые средствами Orion. Компрометация этой платформы, по некоторым оценкам, затронула несколько десятков тысяч подписчиков.

Дальнейший разбор атаки позволил установить, что для скрытного внедрения бэкдора, которому эксперты присвоили кодовое имя Sunburst, злоумышленники использовали специальный код — в CrowdStrike его нарекли Sunspot. После установки на сервер этот зловред (taskhostsvc.exe) присваивает себе привилегии отладчика и приступает к перехвату рабочего потока сборки Orion.

«Sunspot отслеживает запущенные процессы, фиксируя те, что вовлечены в компиляцию Orion продукта, и подменяет один из файлов исходного кода, чтобы включить в итог бэкдор Sunburst», — пишут исследователи в блоге.

Согласно новым результатам расследования, тестирование Sunspot началось в середине сентября 2019 года. В третьей декаде февраля 2020-го эта техника была пущена в ход: с Orion начали раздаваться вредоносные обновления.

Кто является инициатором атаки на SolarWinds, до сих пор не установлено. Спецслужбы США склонны усматривать в ней российский след. Последние результаты анализа кода Sunburst, полученные в «Лаборатории Касперского», свидетельствуют в пользу этой гипотезы: эксперты выявили его сходство с другим бэкдором — Kazuar, которым пользовалась APT-группа Turla, предположительно российского происхождения.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 17 Марта 2026 - 16:06

Соответствие законодательству РФ Домашние пользователи Системы контентной веб-фильтрации

Пользователи не уходят с Telegram, несмотря на почти полную блокировку

Несмотря на почти полную невозможность пользоваться Telegram без средств подмены сетевых адресов, российские пользователи не спешат уходить с этой платформы. Такую оценку дал генеральный директор информационно-аналитического агентства Telecom Daily Денис Кусков.

В комментарии для ТАСС он подчеркнул, что, несмотря на почти полную блокировку мессенджера и фактическую невозможность его использования без VPN и других средств подмены сетевых адресов, пользователи продолжают оставаться в Telegram.

Как сообщило издание Frank Media со ссылкой на несколько источников, даже высокопоставленные государственные чиновники не собираются отказываться от Telegram, рассчитывая, что «Павел Дуров что-то придумает для обхода блокировок».

По данным издания, те, кто всё же устанавливает MAX, нередко делают это на отдельный смартфон с новой сим-картой. Один из топ-менеджеров крупного госбанка, как утверждается, заявил, что поставил MAX исключительно для звонков в Россию из-за границы и собирается удалить приложение после возвращения.

Как показали замеры, проведённые ТАСС, уровень потерь сетевых пакетов при обращении к доменам t.me и telegram.org достигает почти 100%. При этом оба домена используют один и тот же IP-адрес.

Роскомнадзор начал замедлять Telegram 10 февраля. Однако фактически проблемы стали заметны ещё за несколько дней до этого. С 14 марта пользоваться мессенджером стало почти невозможно. При этом степень замедления заметно различалась в зависимости от региона и оператора связи.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!