Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Китайские хакеры атакуют локальные установки SolarWinds Orion

10/03/21

solarwind2В своих атаках группировка SPIRAL полагается на эксплуатацию уязвимости в SolarWinds Orion API.

В декабре 2020 года, когда стало известно о масштабной атаке на цепочку поставок, начавшейся со взлома компании SolarWinds, специалисты Microsoft предупредили о второй киберпреступной группе, атакующей локальные установки платформы SolarWinds Orion и не связанной с атакой на цепочку поставок.

Атаки второй группировки полагались не на компрометацию инфраструктуры обновлений ПО SolarWinds, а на эксплуатацию уязвимости обхода аутентификации в SolarWinds Orion API (CVE-2020-10148) с целью установки web-оболочки на используемые жертвой серверы Orion. Web-оболочка, получившая название SUPERNOVA, играла роль бэкдора в платформе Orion и позволяла злоумышленникам похищать информацию из внутренних сетей атакуемой организации.

На время обнаружения SUPERNOVA исследователи не связывали ее операторов с атакой на цепочку поставок SolarWinds, которую правительство США приписывает России. Однако согласно новому отчету ИБ-компании Secureworks, ей удалось обнаружить связь между SUPERNOVA и августовскими атаками на серверы Zoho ManageEngine через уязвимость удаленного выполнения кода CVE-2020-10189 , PoC-эксплоит для которой был опубликован в марте 2020 года.

Специалисты Secureworks дали группировке кодовое название SPIRAL. По их словам, «характеристики активности указывают на то, что группировка находится в Китае».

«Сходства между действиями, связанными с SUPERNOVA в ноябре [атаки на серверы Orion – ред.] и активностью, которую исследователи CTU проанализировали в августе [атаки на серверы Zoho – ред.], указывают на то, что ответственность за обе атаки лежит на группировке SPIRAL», – сообщили исследователи.

Связана ли SPIRAL с правительством Китая, или является обычной киберпреступной группой, занимающейся продажей доступа к взломанным сетям, похищением данных и вымогательством, специалисты не уточнили.

Темы:СШАMicrosoftКитайПреступленияSolarWinds
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...