Microsoft on paljastanud kolm värskelt leitud pahavara varianti, mis on seotud SolarWindsi küberrünnakuga. Samal ajal on see andnud SolarWindsi taga olevale ohutegurile ka konkreetse jälgimisnime: Nobelium.
Äsja avalikustatud teave annab suurema ülevaate tohutust küberrünnakust, mis nõudis oma ohvrite nimekirjas mitut USA valitsusasutust.
Microsoft paljastas mitu pahavara varianti
Hiljutises postituses oma ametnikule Microsofti turvalisuse ajaveeb, näitas ettevõte kolme täiendava pahavara tüübi avastamist, mis on seotud SolarWindsi küberrünnakuga: GoldMax, Sibotja Kuldleidja.
Microsoft hindab, et näitleja kasutas värskelt pinnale sattunud pahavara tükke püsivuse säilitamiseks ja teha toiminguid väga spetsiifilistes ja sihitud võrkudes kompromissijärgsel ajal, hoidudes isegi vahejuhtumi ajal esmasest avastamisest vastus.
Uusi ründevara variante kasutati SolarWindsi rünnaku viimastel etappidel. Microsofti turvameeskonna sõnul leiti, et uued ründetööriistad ja pahavara tüübid on olemas kasutati ajavahemikus augustist septembrini 2020, kuid võib-olla "oli see juba varem juuni juunis rikutud süsteemides 2020."
Pealegi on need täiesti uut tüüpi pahavara "ainulaadne sellele osalejale" ja "kohandatud konkreetsete võrkude jaoks", samas kui igal variandil on erinevad võimalused.
- GoldMax: GoldMax on kirjutatud Go-s ja toimib käsu- ja kontrolltagana, mis peidab sihtarvutis pahatahtlikke tegevusi. Nagu SolarWindsi rünnaku puhul leiti, võib GoldMax tekitada peibutusvõrgu liiklust, et varjata oma pahatahtlikku võrguliiklust, andes sellele tavalise liikluse välimuse.
- Sibot: Sibot on VBScriptil põhinev kahesuguse otstarbega pahavara, mis säilitab püsiva sihtrühma olemasolu ning pahatahtliku kasuliku koormuse allalaadimiseks ja käivitamiseks. Microsoft märgib, et Siboti pahavaral on kolm varianti, millel kõigil on veidi erinev funktsionaalsus.
- GoldFinder: See pahavara on kirjutatud ka Go-s. Microsoft usub, et seda "kasutati kohandatud HTTP jälgimisvahendina" serveri aadresside ja muu küberrünnakuga seotud infrastruktuuri logimiseks.
Seotud: Microsoft paljastas SolarWindsi küberrünnaku tegeliku eesmärgi
SolarWindsist on veel midagi tulla
Ehkki Microsoft usub, et SolarWindsi rünnakuetapp on tõenäoliselt lõppenud, ootavad veel rünnakuga seotud infrastruktuuri ja pahavara variandid avastamist.
Selle näitleja väljakujunenud mudeli abil ainulaadset infrastruktuuri ja tööriistu iga sihtmärgi jaoks ning nende säilitamise operatiivset väärtust püsivus ohustatud võrkudes, avastatakse tõenäoliselt selle ohuteguri tegevuse uurimisel täiendavaid komponente jätkub.
Paljastus, et rohkem pahavara tüüpe ja rohkem infrastruktuuri on veel leidmata, ei ole selle käimasoleva saaga jälgijate jaoks üllatus. Hiljuti paljastas Microsoft SolarWindsi teine faas, milles kirjeldatakse üksikasjalikult, kuidas ründajad võrkudesse pääsesid ja oma kohalolekut säilitasid pika aja jooksul, mille jooksul nad avastamata jäid.
Tehnikahiiglane on käimasoleva SolarWindsi rünnaku viimane ohver.
- Tehnikauudised
- Microsoft
- Tagauks
Gavin on Windowsi ja Technology Explained nooremtoimetaja, Really Useful Podcasti regulaarne kaasautor ja oli MakeUseOfi krüptokeskse sõsarsaite Blocks Decoded toimetaja. Tal on Devoni mägedelt rüüstatud BA (Hons) kaasaegne kirjutamine digitaalsete kunstipraktikatega ning üle kümne aasta pikkune professionaalne kirjutamiskogemus. Ta naudib rikkalikult teed, lauamänge ja jalgpalli.
Telli meie uudiskiri
Liituge meie uudiskirjaga, kus leiate tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!
Veel üks samm !!!
Palun kinnitage oma e-posti aadress meilis, mille me just saatsime.
