Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Для внедрения бэкдора хакеры предварительно взломали исходные коды  SolarWinds

18/12/20

backdoor3-1ИБ-специалисты продолжают проводить расследование кибератаки на внутреннюю сеть SolarWinds, в результате которой было внедрено вредоносное обновление для ее ПО Orion с целью заражения сетей использующих его правительственных и коммерческих организаций.

По словам экспертов из ReversingLabs, хакерам, вероятно, удалось скомпрометировать сборку программного обеспечения и инфраструктуру подписи кода платформы SolarWinds Orion еще в октябре 2019 года, чтобы внедрить вредоносный бэкдор через процесс выпуска программного обеспечения.

«Исходный код затронутой библиотеки был напрямую изменен, чтобы включить вредоносный код бэкдора, который был скомпилирован, подписан и доставлен через существующую систему управления выпуском исправлений программного обеспечения», — пояснили эксперты.

Хотя первая версия, содержащая испорченное программное обеспечение Orion, была прослежена до 2019.4.5200.9083, в ReversingLabs обнаружили, что более ранняя версия 2019.4.5200.8890 от октября 2019 года, также включала на первый взгляд безобидные модификации, которые служили этапом для доставки реальной полезной нагрузки.

Идея заключалась в том, чтобы скомпрометировать систему сборки, незаметно внедрить собственный код в исходный код программного обеспечения, дождаться, пока компания скомпилирует и подпишет пакеты и, наконец, проверить, отображаются ли их модификации в недавно выпущенном обновления, как ожидалось.

После подтверждения злоумышленники предприняли шаги по добавлению вредоносного ПО SUNBURST к остальной части кодовой базы, имитируя существующие функции (GetOrCreateUserID), но добавляя свои собственные реализации, чтобы оставаться незаметными и вызывать их, изменяя отдельный класс под названием InventoryManager для создания нового потока, запускающего бэкдор.

Более того, вредоносные строки были скрыты путем комбинации сжатия и кодирования с помощью base64 в надежде, что это помешает правилам YARA выявлять аномалии в коде, а также проскользнуть незамеченными во время проверки разработчика программного обеспечения.

Темы:СШАПреступлениябэкдорыSolarWinds
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...