Κυριακή, 21 Φεβρουαρίου, 18:36
Αρχική security SolarWinds: Βρέθηκε τρίτο malware που χρησιμοποιήθηκε στην επίθεση

SolarWinds: Βρέθηκε τρίτο malware που χρησιμοποιήθηκε στην επίθεση

Η CrowdStrike, μία από τις εταιρείες ασφαλείας που διερευνούν τη supply chain επίθεση της SolarWinds, δήλωσε ότι εντόπισε ένα τρίτο malware που φαίνεται να εμπλέκεται άμεσα στο hack.

SolarWinds malware

Τα δύο προηγούμενα κακόβουλα λογισμικά που είχαν ανακαλυφθεί, ήταν το Sunburst (Solorigate) και το Teardrop. Το νέο malware ονομάζεται Sunspot.

Σύμφωνα με τους ερευνητές της CrowdStrike, το Sunspot ήταν το πρώτο malware που χρησιμοποίησαν οι εγκληματίες του κυβερνοχώρου για την πραγματοποίηση της επίθεσης.

Το Sunspot malware “έτρεχε” στον build server της SolarWinds

Η Crowdstrike αναφέρει στην έκθεσή της ότι το Sunspot αναπτύχθηκε, όταν οι hackers παραβίασαν για πρώτη φορά το εσωτερικό δίκτυο της SolarWinds.

Σύμφωνα με τους ερευνητές, το Sunspot malware εγκαταστάθηκε στον build server της SolarWinds. Ο ένας και μοναδικός σκοπός του malware ήταν να παρακολουθεί το build server για build εντολές που σχετίζονταν με το Orion, ένα από τα κορυφαία προϊόντα της SolarWinds που χρησιμοποιείται από περισσότερους από 33.000 πελάτες (σε όλο τον κόσμο).

Με τον εντοπισμό ενός build command, το κακόβουλο λογισμικό αντικαθιστούσε σιωπηλά source code files στο Orion app με αρχεία που φόρτωναν το Sunburst malware. Αυτό είχε ως αποτέλεσμα τη δημιουργία εκδόσεων του Orion app που εγκαθιστούσαν, επίσης, το κακόβουλο λογισμικό Sunburst.

Αυτά τα trojanized Orion clients έφτασαν στις επίσημες ενημερώσεις servers της SolarWinds και εγκαταστάθηκαν στα δίκτυα πολλών πελατών της εταιρείας.

Αμέσως μετά, το Sunburst ενεργοποιούνταν στα εσωτερικά δίκτυα των εταιρειών και των κυβερνητικών υπηρεσιών-πελατών της SolarWinds, και συγκέντρωνε δεδομένα τα οποία έστελνε πίσω στους hackersSymantec δίνει πληροφορίες σχετικά με τον τρόπο αποστολής δεδομένων μέσω DNS request).

Στη συνέχεια, οι επιτιθέμενοι αποφάσιζαν εάν ένα θύμα ήταν αρκετά σημαντικό για να παραβιαστεί και χρησιμοποιούσαν το πιο ισχυρό Teardrop trojan. Ταυτόχρονα, το Sunburst έπαιρνε εντολή να διαγραφεί από τα μη σημαντικά ή υψηλού κινδύνου δίκτυα.

Ωστόσο, η αποκάλυψη για το τρίτο malware που εμπλέκεται στην επίθεση SolarWinds δεν είναι η μοναδική που ήρθε στο φως τις τελευταίες ώρες.

Σε μια ανακοίνωση στο blog της, η SolarWinds δημοσίευσε ένα χρονοδιάγραμμα της εισβολής. Η εταιρεία είπε ότι πριν την ανάπτυξη του λογισμικού Sunburst μεταξύ Μαρτίου και Ιουνίου 2020, οι hackers είχαν κάνει κάποιες δοκιμές μεταξύ Σεπτεμβρίου και Νοεμβρίου 2019.

Η έκδοση του Οκτωβρίου 2019 του Orion Platform περιείχε τροποποιήσεις που είχαν σχεδιαστεί για να δοκιμάσουν οι δράστες την ικανότητά τους να εισάγουν κώδικα στα συστήματά μας“, δήλωσε ο Διευθύνων Σύμβουλος της SolarWinds, Sudhakar Ramakrishna.

Η άλλη ανακάλυψη που κυκλοφόρησε από την Kaspersky, είναι ότι το Sunburst παρουσιάζει ομοιότητες με ένα malware που χρησιμοποιείται από τη ρωσική hacking ομάδα Turla.

Η Kaspersky τόνισε ότι βρήκε απλά κάποιες ομοιότητες στον κώδικα και ότι αυτό δεν σημαίνει απαραίτητα ότι η ίδια ομάδα βρίσκεται πίσω από την επίθεση στη SolarWinds.

Οι εταιρείες ασφαλείας κάνουν πιο προσεκτικές δηλώσεις σχετικά με τον πιθανό φορέα της επίθεσης, αν και η αμερικανική κυβέρνηση έχει ήδη πει δημόσια ότι πιθανότατα η Ρωσία ευθύνεται για την επίθεση.

Οι εταιρείες ασφαλείας προτείνουν να μην γίνονται τέτοιες δηλώσεις ακόμα, καθώς η έρευνα βρίσκεται σε πρώιμο στάδιο.

Προς το παρόν, οι επιτιθέμενοι παρακολουθούνται με διαφορετικά ονόματα, όπως UNC2452 (FireEye, Microsoft), DarkHalo (Volexity) και StellarParticle (CrowdStrike), αλλά το όνομα αναμένεται να αλλάξει μόλις οι εταιρείες μάθουν περισσότερα.

Πηγή: ZDNet

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...