Microsoft блокирует вредоносное ПО Sunburst, лежащее в основе взлома SolarWinds
Безопасность

Microsoft блокирует вредоносное ПО Sunburst, лежащее в основе взлома SolarWinds

Опасное вредоносное ПО заразило множество правительственных ведомств США

Microsoft блокирует бэкдор Sunburst, используемый в кибератаке SolarWinds, жертвами которой стали многие люди по всему миру

Бэкдор Sunburst является ключевым элементом продолжающейся атаки на цепочки поставок, и выпуск глобальной сигнатуры вредоносного ПО должен значительно снизить угрозу

Что такое кибератака SolarWinds?

В декабре 2020 года многочисленные государственные учреждения США объявили о том, что они стали жертвой масштабной хакерской операции. Бэкдор для атаки был вставлен с помощью вредоносного обновления через программное обеспечение SolarWinds Orion для управления ИТ и удаленного мониторинга

На момент написания статьи жертвами взлома SolarWinds стали Казначейство США, а также министерства внутренней безопасности, государственной службы, обороны и торговли, и есть вероятность новых разоблачений

Похожие: Эти эксперты по безопасности делают вашу жизнь более безопасной

Истинные масштабы атаки SolarWinds пока неизвестны. Выступая перед BBC, исследователь кибербезопасности профессор Алан Вудворд сказал: ‘После холодной войны это одно из потенциально крупнейших проникновений в западные правительства, о которых я знаю’

Что такое ‘черный ход’ Sunburst?

Для такой масштабной атаки потребовались месяцы, если не годы планирования. Атака была начата с доставки необнаруженного вредоносного обновления для программного обеспечения SolarWinds Orion

Неизвестный компании SolarWinds и ее пользователям, многие из которых являются правительственными ведомствами, агент угроз заразил обновление

Обновление было распространено как минимум на 18 000, а потенциально – до 300 000 клиентов. При активации обновление запускало троянскую версию программного обеспечения Orion, предоставляя злоумышленнику доступ к компьютеру и более широкой сети

Этот процесс известен как атака по цепочке поставок. Взлом был обнаружен компанией FireEye, которая сама стала жертвой связанной с этим громкой утечки данных в декабре 2020 года

Похожие: Ведущая фирма по кибербезопасности FireEye подверглась атаке со стороны государства

Резюме отчета FireEye гласит:

Действующие лица, стоящие за этой кампанией, получили доступ к многочисленным государственным и частным организациям по всему миру. Они получили доступ к жертвам через троянские обновления программного обеспечения Orion компании SolarWind для мониторинга и управления ИТ. Эта кампания могла начаться еще весной 2020 года и продолжается в настоящее время. Деятельность после компрометации цепочки поставок включала в себя боковое перемещение и кражу данных

Sunburst – это название, под которым FireEye отслеживает кибератаку, и название, данное вредоносному ПО, распространяемому через программное обеспечение SolarWinds

Как Microsoft блокирует бэкдор Sunburst?

Корпорация Microsoft распространяет обнаружения для своих инструментов безопасности. Как только сигнатура вредоносного ПО будет распространена на Windows Security (бывший Windows Defender), компьютеры под управлением Windows 10 получат защиту от вредоносного ПО

Согласно блогу команды Microsoft 365 Defender Threat Intelligence Team:

Начиная со среды, 16 декабря, в 8:00 утра по тихоокеанскому времени, антивирус Microsoft Defender начнет блокировать известные вредоносные двоичные файлы SolarWinds. При этом двоичный файл будет помещен в карантин, даже если процесс запущен

Microsoft также предлагает следующие дополнительные меры безопасности, если вы столкнулись с вредоносным ПО Sunburst:

  1. Немедленно изолируйте зараженное устройство или устройства. Если вы обнаружили вредоносную программу Sunburst, скорее всего, ваше устройство находится под контролем злоумышленника.
  2. Если на зараженном устройстве использовались какие-либо учетные записи, считайте их скомпрометированными. Сбросьте любой пароль, относящийся к учетной записи, или полностью выведите учетную запись из эксплуатации.
  3. Если возможно, начните расследование того, как устройство было скомпрометировано.
  4. Если возможно, начните поиск признаков того, что вредоносная программа переместилась на другие устройства, что называется боковым перемещением.

.

Для большинства людей первые два шага по обеспечению безопасности являются наиболее важными. Вы также можете найти больше информации о безопасности на сайте SolarWinds

Подтверждения личности злоумышленников нет, но считается, что это работа очень сложной и хорошо обеспеченной ресурсами хакерской команды национального государства

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий