Η CrowdStrike,其中之一 公司 调查中 供应链 攻击 通过SolarWinds, 说 位于第三 恶意软件 似乎直接参与其中 破解.
之前发现的两个恶意软件是 旭日 (独奏)和 泪珠。 新的恶意软件称为 太阳黑子.
根据CrowdStrike研究人员的说法,Sunspot是 网络罪犯使用的第一个恶意软件 攻击.
Sunspot恶意软件在SolarWinds构建服务器上“运行”
群众罢工报告 报告 太阳黑子是在 黑客 首次违反了SolarWinds内部网络。
据研究人员称,黑子恶意软件 安装在SolarWinds构建服务器上。 该恶意软件的唯一目的是监视构建服务器中与以下内容有关的构建命令: 猎户座,顶级之一 制品 全球超过33.000个客户使用的SolarWinds数量。
通过检测构建命令,恶意软件 用加载Sunburst恶意软件的文件将Orion应用程序中的源代码文件静默替换。 这导致 创建还安装了Sunburst恶意软件的Orion应用版本。
这些木马Orion客户端已经达到了SolarWinds服务器的正式更新,并且 已安装在公司许多客户的网络中。
不久之后,森伯斯特开始活跃于SolarWinds公司和政府客户服务的内部网络,以及 聚集 数据 他发回给黑客 ( 赛门铁克 提供有关如何通过DNS请求发送数据的信息)。
然后,攻击者决定是否 受害者 非常重要,足以被侵犯,他们使用了最强大的 泪珠木马。 同时, 森伯斯特被命令删除 来自非重要或高风险的网络。
但是,关于SolarWinds攻击中涉及的第三种恶意软件的启示并不是最近几个小时才发现的唯一恶意软件。
在其博客的公告中,SolarWinds发布了一个 入侵时间表。 该公司表示,在2020年XNUMX月至XNUMX年XNUMX月之间开发Sunburst软件之前, 该 黑客 在2019年XNUMX月至XNUMX年XNUMX月之间进行了一些测试。
“Orion平台的2019年XNUMX月版包含一些修改,旨在测试犯罪者将代码输入我们的系统的能力SohaWinds首席执行官Sudhakar Ramakrishna说。
由发布的另一个发现 卡巴斯基是的 森伯斯特与恶意软件有相似之处 被俄罗斯人使用 黑客 组图拉。
卡巴斯基指出,它只是在代码中发现了一些相似之处, 但这并不一定意味着同一支队伍是SolarWinds攻击的幕后黑手。
这些公司 安全 尽管对可能的攻击者做出了更加谨慎的陈述 美国政府已经公开表示,很可能 俄罗斯 负责攻击。
这些公司 安全 建议还不做任何陈述,因为调查尚处于早期阶段。
目前,正在以不同的名称监视攻击者,例如 UNC2452 (FireEye,Microsoft), 黑暗光环 (Volexity)和 恒星粒子 (CrowdStrike),但预计名称会尽快更改 公司 学到更多。
资料来源:ZDNet
Greek
Chinese (Simplified)
English
Greek
Russian