31.12.2020 | Microsoft определила конечную цель взломавших SolarWinds хакеров |
По мнению специалистов Microsoft, конечной целью взломавших SolarWinds хакеров было получение доступа к облачным активам жертв через установленный в их сетях бэкдор Sunburst/Solorigate. Как пояснила команда Microsoft 365 Defender Team, проникнув через бэкдор в локальную сеть атакуемой организации, злоумышленники начинали охоту за ее облачными активами за пределами локальной сети. «Со столь обширным плацдармом атакующие могли выбирать конкретные организации, в которых они хотели продолжать свои операции (в то же время остальные оставались доступными, пока бэкдор находился в их сетях и не был обнаружен)», - сообщили специалисты. В предыдущих публикациях Microsoft об атаке на цепочку поставок SolarWinds и руководстве Агентства национальной безопасности США также вскользь упоминалось, что конечной целью злоумышленников было создание токенов SAML (Security Assertion Markup Language) для подделки токенов аутентификации, обеспечивающих доступ к облачным ресурсам. Microsoft подробно описала использовавшуюся злоумышленниками процедуру получения доступа к облачным ресурсам своих жертв: Использование скомпрометированной библиотеки DLL SolarWinds для активации бэкдора, позволяющего злоумышленникам удаленно управлять устройством; Использование бэкдора для доступа и кражи учетных данных, повышения привилегий и горизонтального перемещения по сети, чтобы получить возможность создавать действительные токены SAML одним из двух методов: похитив сертификат для подписи SAML или добавив/изменив существующие настройки доверия федерации; Использование созданных злоумышленниками токенов SAML для доступа к облачным ресурсам и выполнения действий, ведущих к краже электронных писем и сохранению персистентности в облаке. Напомним, ранее в этом месяце техасский производитель программного обеспечения SolarWinds сообщил о том, что хакеры получили доступ к его сетям и внедрили бэкдор Sunburst/Solorigate в обновления для платформы Orion. Вредоносное обновление загрузили 18 тыс. из 33 тыс. пользователей платформы, однако, по словам специалистов, только сорок (около 0,2%) из них подверглось дальнейшим кибератакам через установленный бэкдор. |
Проверить безопасность сайта