Microsoft блокирует вредоносное ПО Sunburst в корне взлома SolarWinds

Дядя Влад

В настоящее время Microsoft блокирует бэкдор Sunburst, использованный в кибератаке SolarWinds, унесшей множество жертв по всему миру.

Бэкдор Sunburst – ключевая особенность продолжающейся атаки на цепочку поставок, и выпуск глобальной сигнатуры вредоносного ПО должен значительно снизить угрозу.

Что такое кибератака SolarWinds?

В декабре 2020 года многочисленные правительственные агентства США объявили, что они стали жертвой масштабной хакерской операции. Бэкдор для атаки был внедрен с помощью вредоносного обновления через программное обеспечение для управления ИТ и удаленного мониторинга SolarWinds Orion.

На момент написания статьи взлом SolarWinds объявил казначейство США, а также министерства внутренней безопасности, государства, обороны и торговли жертвами, с потенциалом для новых разоблачений.

Связано: Эти эксперты по безопасности делают вашу жизнь более безопасной

Истинные масштабы атаки SolarWinds пока не известны. В беседе с BBC исследователь кибербезопасности профессор Алан Вудворд сказал: «После холодной войны это одно из потенциально крупнейших проникновений западных правительств, о которых я знаю».

Что такое бэкдор Sunburst?

На планирование такой масштабной атаки потребовались месяцы, если не годы. Атака началась с доставки неизвестного вредоносного обновления для программного обеспечения SolarWinds Orion.

Без ведома SolarWinds и их пользователей, многие из которых являются правительственными ведомствами, злоумышленник заразил обновление.

Обновление было развернуто как минимум для 18 000, а потенциально до 300 000 клиентов. При активации обновление запускало троянскую версию программного обеспечения Orion, что позволяло злоумышленнику получить доступ к компьютеру и к сети в целом.

Этот процесс известен как атака на цепочку поставок. Взлом был обнаружен FireEye, которые сами стали жертвой соответствующей громкой утечки данных в декабре 2020 года.

По теме: ведущая фирма по кибербезопасности FireEye подверглась атаке со стороны государства

Резюме отчета FireEye гласит:

Актеры, стоящие за этой кампанией, получили доступ к многочисленным государственным и частным организациям по всему миру. Они получили доступ к жертвам с помощью троянских обновлений программного обеспечения для мониторинга и управления ИТ SolarWind Orion. Эта кампания могла начаться уже весной 2020 года и в настоящее время продолжается. Действия после компрометации после этой компрометации в цепочке поставок включали боковое перемещение и кражу данных.

Таким образом, Sunburst – это имя, с помощью которого FireEye отслеживает кибератаки, и имя, данное вредоносному ПО, распространяемому через программное обеспечение SolarWinds.

Как Microsoft блокирует бэкдор Sunburst?

Microsoft внедряет средства обнаружения для своих средств безопасности. Как только сигнатура вредоносного ПО будет внедрена в Windows Security (бывший Защитник Windows), компьютеры под управлением Windows 10 получат защиту от вредоносного ПО.

Согласно блогу группы анализа угроз Microsoft 365 Defender :

Начиная со среды, 16 декабря, в 8:00 утра по тихоокеанскому времени антивирус Microsoft Defender начнет блокировать известные вредоносные двоичные файлы SolarWinds. Это поместит двоичный файл в карантин, даже если процесс запущен.

Microsoft также предлагает следующие дополнительные меры безопасности, если вы столкнетесь с вредоносным ПО Sunburst:

  1. Немедленно изолируйте зараженное устройство или устройства. Есть вероятность, что если вы обнаружите вредоносную программу Sunburst, ваше устройство, скорее всего, окажется под контролем злоумышленника.
  2. Если какие-либо учетные записи использовались на зараженном устройстве, вы должны считать их скомпрометированными. Сбросьте любой пароль, относящийся к учетной записи, или полностью спустите учетную запись.
  3. Если возможно, начните выяснять, как было взломано устройство.
  4. Если возможно, начните поиск признаков того, что вредоносная программа переместилась на другие устройства, что называется боковым перемещением.

Для большинства людей первые два шага безопасности являются наиболее важными. Вы также можете найти дополнительную информацию о безопасности на сайте SolarWinds .

Подтверждения личности злоумышленников нет, но считается, что это работа высокоразвитой и хорошо обеспеченной ресурсами хакерской команды национального государства.