Контакты
Подписка 2024
МЕНЮ
Контакты
Подписка
Защита АСУ ТП. Безопасность КИИ
13 февраля. Комплексный подход к промышленной кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Регистрируйтесь и приходите на ТБ Форум 2024!

Для внедрения бэкдора в SolarWinds Orion использовалось ПО Sunspot

13/01/21

sunspotРасследование атаки на цепочку поставок SolarWinds продолжается, и исследователи в области кибербезопасности выявили третий вид вредоносного ПО, развернутого в среде сборки для внедрения бэкдора в платформу мониторинга сети Orion компании SolarWinds.

Вредонос, получивший название Sunspot, пополнил постоянно растущий список ранее обнаруженных вредоносных программ, таких как Sunburst и Teardrop. Напомним, ранее аналитики «Лаборатории Касперского» обнаружили сходство между хакерским инструментом Sunburst, использованным во время этой атаки, и уже известным инструментом Kazuar, применявшимся хакерской группой Turla, которую многие эксперты связывают с Россией.

«Этот очень сложный вредонос был разработан для внедрения вредоносного кода Sunburst в платформу SolarWinds Orion, не вызывая подозрений у наших групп разработки и сборки программного обеспечения», — пояснил новый генеральный директор SolarWinds Судхакар Рамакришна.

Хотя предварительные данные показали, что операторы шпионской кампании сумели скомпрометировать сборку программного обеспечения и инфраструктуру подписи кода платформы SolarWinds Orion еще в октябре 2019 года, чтобы поставить бэкдор Sunburst, последние результаты расследования указывают на новую временную шкалу, определяющую взлом сети SolarWinds. 4 сентября 2019 года злоумышленники развернули Sunspot.

Sunspot отслеживает запущенные процессы тех, кто участвует в компиляции продукта Orion, и заменяет один из исходных файлов, чтобы включить в него бэкдор-код Sunburst. После установки вредоносная программа ("taskhostsvc.exe") предоставляет себе права на отладку и приступает к своей задаче по захвату рабочего процесса сборки Orion путем мониторинга запущенных программных процессов на сервере и последующей замены файла исходного кода в каталоге сборки вредоносным вариантом для введения Sunburst во время сборки Orion.

Темы:УгрозыКиберугрозыSolarWinds
Доверенные отечественные ИТ-системы
15 февраля 2024. Доверенные отечественные ИТ-системы и российское ПО для госсектора и ключевых отраслей
Регистрируйтесь и приходите на ТБ Форум 2024!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Конференция ФСТЭК
14 февраля 2024. Актуальные вопросы защиты информации
Участвуйте!

Еще темы...