Вторая хакерская группа подозревается в массированной атаке на SolarWinds
Возможно, после разрушительной атаки на SolarWinds действует еще одна группа хакеров.
Блог Microsoft намекает на вторую попытку взлома, не связанную с первоначальным взломом программного обеспечения SolarWinds.
В этой первой атаке российские субъекты взломали обновления программного обеспечения для популярного инструмента сетевого мониторинга SolarWinds Orion, что описывается как взлом «цепочки поставок». В результате были взломаны несколько правительственных учреждений. По данным The Wall Street Journal, ряд крупных технологических компаний также установили программное обеспечение SolarWinds, в том числе Cisco, Intel и VMware.
«При интересном повороте событий расследование всего взлома SolarWinds привело к обнаружению еще одного вредоносного ПО», — говорится в сообщении Microsoft.
В целом, по данным компании, атака могла затронуть до 18 000 клиентов SolarWinds.
Несмотря на вторую атаку, последовавшую за продуктом Orion компании SolarWinds, Microsoft определила, что эта атака «скорее всего не связана с этим взломом и используется другим злоумышленником», который, как многие считают, является еще одной киберпреступной организацией.
В своем сообщении в блоге Microsoft описала обнаруженную дополнительную вредоносную программу как «небольшой бэкдор постоянства в виде файла DLL», имея в виду динамическую библиотеку ссылок. Файлы с расширением «.DLL» обычно встречаются в Windows.
В отличие от исходной атаки, «эта вредоносная DLL не имеет цифровой подписи, а это говорит о том, что это может не иметь отношения к первой атаке», — пояснила Microsoft.
Корпорация Майкрософт из Редмонда, штат Вашингтон, не определила вредоносное ПО по имени, но анализ, проведенный исследователями безопасности из Palo Alto Networks, назвал его «Supernova».
По данным ZDNet, возникла некоторая путаница, поскольку исследователи безопасности посчитали, что Supernova, возможно, была связана с первой атакой. Однако новостное издание сообщило, что это не так, со ссылкой на последующий анализ, проведенный группами безопасности Microsoft. В результате компании, у которых есть SolarWinds вместе с Supernova, должны обрабатывать это как отдельную атаку.
Эксперты считают, что еще предстоит выяснить об атаках и их масштабах.
«Мы еще многого не знаем, в том числе, как именно был осуществлен взлом цепочки поставок, какие другие векторы были использованы помимо SolarWinds, сколько пострадавших было затронуто, каковы были цели злоумышленников и какую информацию они смогли получить, какую они будут использовать эту информацию и многое другое», — говорится в заявлении Сюзанн Сполдинг, советника Nozomi Networks и бывшего заместителя министра национальной безопасности США по кибербезопасности и инфраструктуре. «Устранение этой угрозы будет настоящей битвой. Это не противник, который убегает после обнаружения. Он будет сражаться, чтобы сохранить постоянное присутствие, даже вернувшись после загрузки».
Источник: https://www.foxnews.com/tech/second-hacking-group-suspected-solarwinds-attack