Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Для внедрения бэкдора в SolarWinds Orion использовалось ПО Sunspot

13/01/21

sunspotРасследование атаки на цепочку поставок SolarWinds продолжается, и исследователи в области кибербезопасности выявили третий вид вредоносного ПО, развернутого в среде сборки для внедрения бэкдора в платформу мониторинга сети Orion компании SolarWinds.

Вредонос, получивший название Sunspot, пополнил постоянно растущий список ранее обнаруженных вредоносных программ, таких как Sunburst и Teardrop. Напомним, ранее аналитики «Лаборатории Касперского» обнаружили сходство между хакерским инструментом Sunburst, использованным во время этой атаки, и уже известным инструментом Kazuar, применявшимся хакерской группой Turla, которую многие эксперты связывают с Россией.

«Этот очень сложный вредонос был разработан для внедрения вредоносного кода Sunburst в платформу SolarWinds Orion, не вызывая подозрений у наших групп разработки и сборки программного обеспечения», — пояснил новый генеральный директор SolarWinds Судхакар Рамакришна.

Хотя предварительные данные показали, что операторы шпионской кампании сумели скомпрометировать сборку программного обеспечения и инфраструктуру подписи кода платформы SolarWinds Orion еще в октябре 2019 года, чтобы поставить бэкдор Sunburst, последние результаты расследования указывают на новую временную шкалу, определяющую взлом сети SolarWinds. 4 сентября 2019 года злоумышленники развернули Sunspot.

Sunspot отслеживает запущенные процессы тех, кто участвует в компиляции продукта Orion, и заменяет один из исходных файлов, чтобы включить в него бэкдор-код Sunburst. После установки вредоносная программа ("taskhostsvc.exe") предоставляет себе права на отладку и приступает к своей задаче по захвату рабочего процесса сборки Orion путем мониторинга запущенных программных процессов на сервере и последующей замены файла исходного кода в каталоге сборки вредоносным вариантом для введения Sunburst во время сборки Orion.

Темы:УгрозыКиберугрозыSolarWinds
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...