10/03/21
В своих атаках группировка SPIRAL полагается на эксплуатацию уязвимости в SolarWinds Orion API.
В декабре 2020 года, когда стало известно о масштабной атаке на цепочку поставок, начавшейся со взлома компании SolarWinds, специалисты Microsoft предупредили о второй киберпреступной группе, атакующей локальные установки платформы SolarWinds Orion и не связанной с атакой на цепочку поставок.
Атаки второй группировки полагались не на компрометацию инфраструктуры обновлений ПО SolarWinds, а на эксплуатацию уязвимости обхода аутентификации в SolarWinds Orion API (CVE-2020-10148) с целью установки web-оболочки на используемые жертвой серверы Orion. Web-оболочка, получившая название SUPERNOVA, играла роль бэкдора в платформе Orion и позволяла злоумышленникам похищать информацию из внутренних сетей атакуемой организации.
На время обнаружения SUPERNOVA исследователи не связывали ее операторов с атакой на цепочку поставок SolarWinds, которую правительство США приписывает России. Однако согласно новому отчету ИБ-компании Secureworks, ей удалось обнаружить связь между SUPERNOVA и августовскими атаками на серверы Zoho ManageEngine через уязвимость удаленного выполнения кода CVE-2020-10189 , PoC-эксплоит для которой был опубликован в марте 2020 года.
Специалисты Secureworks дали группировке кодовое название SPIRAL. По их словам, «характеристики активности указывают на то, что группировка находится в Китае».
«Сходства между действиями, связанными с SUPERNOVA в ноябре [атаки на серверы Orion – ред.] и активностью, которую исследователи CTU проанализировали в августе [атаки на серверы Zoho – ред.], указывают на то, что ответственность за обе атаки лежит на группировке SPIRAL», – сообщили исследователи.
Связана ли SPIRAL с правительством Китая, или является обычной киберпреступной группой, занимающейся продажей доступа к взломанным сетям, похищением данных и вымогательством, специалисты не уточнили.
