Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Для внедрения бэкдора в SolarWinds Orion использовалось ПО Sunspot

13/01/21

sunspotРасследование атаки на цепочку поставок SolarWinds продолжается, и исследователи в области кибербезопасности выявили третий вид вредоносного ПО, развернутого в среде сборки для внедрения бэкдора в платформу мониторинга сети Orion компании SolarWinds.

Вредонос, получивший название Sunspot, пополнил постоянно растущий список ранее обнаруженных вредоносных программ, таких как Sunburst и Teardrop. Напомним, ранее аналитики «Лаборатории Касперского» обнаружили сходство между хакерским инструментом Sunburst, использованным во время этой атаки, и уже известным инструментом Kazuar, применявшимся хакерской группой Turla, которую многие эксперты связывают с Россией.

«Этот очень сложный вредонос был разработан для внедрения вредоносного кода Sunburst в платформу SolarWinds Orion, не вызывая подозрений у наших групп разработки и сборки программного обеспечения», — пояснил новый генеральный директор SolarWinds Судхакар Рамакришна.

Хотя предварительные данные показали, что операторы шпионской кампании сумели скомпрометировать сборку программного обеспечения и инфраструктуру подписи кода платформы SolarWinds Orion еще в октябре 2019 года, чтобы поставить бэкдор Sunburst, последние результаты расследования указывают на новую временную шкалу, определяющую взлом сети SolarWinds. 4 сентября 2019 года злоумышленники развернули Sunspot.

Sunspot отслеживает запущенные процессы тех, кто участвует в компиляции продукта Orion, и заменяет один из исходных файлов, чтобы включить в него бэкдор-код Sunburst. После установки вредоносная программа ("taskhostsvc.exe") предоставляет себе права на отладку и приступает к своей задаче по захвату рабочего процесса сборки Orion путем мониторинга запущенных программных процессов на сервере и последующей замены файла исходного кода в каталоге сборки вредоносным вариантом для введения Sunburst во время сборки Orion.

Темы:УгрозыКиберугрозыSolarWinds
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...