Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Татьяна Никитина 12 Января 2021 - 18:27

Таргетированные атаки

...

Выявлен код, запустивший бэкдор на платформу SolarWinds Orion

Совместное расследование SolarWinds и сторонних ИБ-экспертов показало, что за внедрение бэкдора Sunburst в обновления софта, раздаваемые с платформы Orion, отвечал особый зловред. Авторы атаки на поставщика ИТ-услуг развернули этот код в среде сборки Orion еще в начале сентября 2019 года.

Первоначально считалось, что взлом сети SolarWinds произошел в начале прошлого года. В результате злоумышленникам удалось получить доступ к мониторинговой платформе Orion, а точнее — к системе сборки софта и создания цифровой подписи кода.

Как оказалось, конечной целью этой атаки являлось проникновение в ИТ-инфраструктуру клиентов SolarWinds, и такую возможность взломщики получили посредством внедрения бэкдора в обновления, компонуемые средствами Orion. Компрометация этой платформы, по некоторым оценкам, затронула несколько десятков тысяч подписчиков.

Дальнейший разбор атаки позволил установить, что для скрытного внедрения бэкдора, которому эксперты присвоили кодовое имя Sunburst, злоумышленники использовали специальный код — в CrowdStrike его нарекли Sunspot. После установки на сервер этот зловред (taskhostsvc.exe) присваивает себе привилегии отладчика и приступает к перехвату рабочего потока сборки Orion.

«Sunspot отслеживает запущенные процессы, фиксируя те, что вовлечены в компиляцию Orion продукта, и подменяет один из файлов исходного кода, чтобы включить в итог бэкдор Sunburst», — пишут исследователи в блоге.

Согласно новым результатам расследования, тестирование Sunspot началось в середине сентября 2019 года. В третьей декаде февраля 2020-го эта техника была пущена в ход: с Orion начали раздаваться вредоносные обновления.

Кто является инициатором атаки на SolarWinds, до сих пор не установлено. Спецслужбы США склонны усматривать в ней российский след. Последние результаты анализа кода Sunburst, полученные в «Лаборатории Касперского», свидетельствуют в пользу этой гипотезы: эксперты выявили его сходство с другим бэкдором — Kazuar, которым пользовалась APT-группа Turla, предположительно российского происхождения.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 16 Декабря 2025 - 16:06

Windows GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации Microsoft

В Сети появился скрипт, вырезающий Copilot и ИИ из Windows 11

Навязчивое продвижение ИИ в Windows и экосистеме Microsoft начинает раздражать всё больше пользователей. Copilot уже успел засветиться даже в заметках Apple App Store и добраться до телевизоров LG. Для части пользователей Windows 11 это стало перебором — и они всё чаще говорят о желании вернуть полный контроль над тем, что именно работает на их компьютерах.

На этом фоне в сообществе появился любопытный инструмент. Пользователь GitHub под ником zoicware выложил скрипт RemoveWindowsAI, который предназначен для радикального отключения ИИ-функций в Windows 11 на системном уровне.

В отличие от стандартных переключателей и скрытых настроек, скрипт действует жёстко. Он отключает связанные с ИИ ключи реестра, удаляет соответствующие файлы из системы и блокирует повторное появление компонентов при будущих обновлениях Windows. По сути, это попытка «вычистить» ИИ из ОС, а не просто спрятать его с глаз.

Список функций, которые затрагивает скрипт, довольно внушительный. В него входят Copilot, Recall, сбор данных о вводе и поведении при наборе текста, Copilot в Edge, Image Creator и другие ИИ-инструменты в Paint, AI Fabric Service, AI Actions, ИИ-поиск в настройках Windows, Voice Access с голосовыми эффектами и ряд других недавних нововведений Microsoft. Для тех, кто хочет более «классическую» Windows без ИИ-надстроек, этого набора более чем достаточно.

При этом скрипт отключает не всё. Например, Gaming Copilot и ИИ-функции OneDrive остаются нетронутыми — вероятно, из-за более глубокой интеграции или других механизмов доставки.

Авторы и пользователи инструмента сразу предупреждают о рисках. Работа с реестром и удаление системных компонентов могут привести к нестабильной работе системы, проблемам с обновлениями и непредсказуемым последствиям. Скрипт явно рассчитан на опытных пользователей, которые понимают, на что идут, и готовы брать ответственность на себя.

Тем не менее популярность RemoveWindowsAI хорошо отражает общее настроение: многие пользователи хотят выбора, а не принудительного внедрения ИИ. И по мере того как Microsoft всё активнее встраивает ИИ в свои продукты, сопротивление со стороны продвинутых пользователей, похоже, будет только усиливаться.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »