Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Татьяна Никитина 12 Января 2021 - 18:27

Таргетированные атаки

...

Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Совместное расследование SolarWinds и сторонних ИБ-экспертов показало, что за внедрение бэкдора Sunburst в обновления софта, раздаваемые с платформы Orion, отвечал особый зловред. Авторы атаки на поставщика ИТ-услуг развернули этот код в среде сборки Orion еще в начале сентября 2019 года.

Первоначально считалось, что взлом сети SolarWinds произошел в начале прошлого года. В результате злоумышленникам удалось получить доступ к мониторинговой платформе Orion, а точнее — к системе сборки софта и создания цифровой подписи кода.

Как оказалось, конечной целью этой атаки являлось проникновение в ИТ-инфраструктуру клиентов SolarWinds, и такую возможность взломщики получили посредством внедрения бэкдора в обновления, компонуемые средствами Orion. Компрометация этой платформы, по некоторым оценкам, затронула несколько десятков тысяч подписчиков.

Дальнейший разбор атаки позволил установить, что для скрытного внедрения бэкдора, которому эксперты присвоили кодовое имя Sunburst, злоумышленники использовали специальный код — в CrowdStrike его нарекли Sunspot. После установки на сервер этот зловред (taskhostsvc.exe) присваивает себе привилегии отладчика и приступает к перехвату рабочего потока сборки Orion.

«Sunspot отслеживает запущенные процессы, фиксируя те, что вовлечены в компиляцию Orion продукта, и подменяет один из файлов исходного кода, чтобы включить в итог бэкдор Sunburst», — пишут исследователи в блоге.

Согласно новым результатам расследования, тестирование Sunspot началось в середине сентября 2019 года. В третьей декаде февраля 2020-го эта техника была пущена в ход: с Orion начали раздаваться вредоносные обновления.

Кто является инициатором атаки на SolarWinds, до сих пор не установлено. Спецслужбы США склонны усматривать в ней российский след. Последние результаты анализа кода Sunburst, полученные в «Лаборатории Касперского», свидетельствуют в пользу этой гипотезы: эксперты выявили его сходство с другим бэкдором — Kazuar, которым пользовалась APT-группа Turla, предположительно российского происхождения.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 16:36

Соответствие законодательству РФ Корпорации Соответствие требованиям регуляторов Стахановец

Компания Стахановец получила лицензию ФСТЭК России

Компания «Стахановец» получила бессрочную лицензию ФСТЭК России на разработку и производство средств защиты конфиденциальной информации. Продукт, представленный на рынке с 2009 года, входит в Реестр российского программного обеспечения.

Согласно лицензии № Л050-00107-77/02210986, компания имеет право разрабатывать и производить программно-технические комплексы для защиты, обработки и контроля информации, а также внедрять их на объектах критической информационной инфраструктуры.

Ранее система «Стахановец», предназначенная для защиты от утечек данных и мониторинга сотрудников, получила сертификат соответствия ФСТЭК России по 4 уровню доверия.

«Для нас, как для разработчика, критически важно не только расширять функциональность решения, но и обеспечивать максимально высокий уровень безопасности», — отметил генеральный директор компании Дмитрий Исаев.

«Это цель, которую ставят перед собой лидеры рынка, и важный критерий для наших клиентов. Мы ценим их обратную связь и считаем принципиально важным соответствовать требованиям регуляторов в области ИТ-безопасности».

Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Читайте также