Čínski hackeri využili najnovšie SolarWinds 0- Deň v cielených útokoch

Microsoft v utorok zverejnil, že najnovší reťazec útokov zameraných na službu prenosu súborov riadenú SolarWinds Serv-U s teraz opraveným využívaním vzdialeného spúšťania kódu (RCE) je dielom čínskeho herca hrozieb nazývaného „DEV-0322“.

Odhalenie prichádza niekoľko dní po tom, čo výrobca IT monitorovacieho softvéru so sídlom v Texase vydal opravy chyby, ktoré by mohli protivníkom umožniť na diaľku spúšťať ľubovoľný kód s privilégiami, čo im umožňuje vykonávať akcie, ako je inštalácia a spúšťanie škodlivých dát alebo prezeranie a zmena citlivých údajov.

Chyba RCE, sledovaná ako CVE-2021-35211, spočíva v implementácii protokolu Secure Shell (SSH) spoločnosti Serv-U. Aj keď sa predtým ukázalo, že rozsah útokov bol obmedzený, SolarWinds uviedol, že „nepoznal identitu potenciálne postihnutých zákazníkov“.

Centrum Microsoft Threat Intelligence Center (MSTIC) s vysokou mierou spoľahlivosti pripísalo vniknutia DEV-0322 (skratka pre „Development Group 0322“) na základe pozorovanej viktimológie, taktiky a postupov uviedlo, že protivník je známy tým, že sa zameriava na subjekty v americkej obrannej priemyselnej základni. Sektorové a softvérové ​​spoločnosti.

„Táto skupina aktivít má sídlo v Číne a bola pozorovaná pri používaní komerčných riešení VPN a kompromitovaných spotrebiteľských smerovačov v ich infraštruktúre útočníkov,“ tvrdí MSTIC, ktorý objavil nultý deň po tom, čo zistil až šesť anomálnych škodlivých procesov splodených z hlavný proces Serv-U, ktorý navrhuje kompromis.

Tento vývoj je tiež druhým prípadom, keď hackerská skupina so sídlom v Číne využila zraniteľné miesta v softvéri SolarWinds ako úrodné pole pre cielené útoky proti podnikovým sieťam.

V decembri 2020 spoločnosť Microsoft odhalila, že samostatná špionážna skupina mohla využívať softvér Orion od poskytovateľa IT infraštruktúry, aby na infikovaných systémoch spustila trvalé zadné vrátka nazývané Supernova. Vniknutia sa odvtedy pripisujú aktérovi hrozby napojenej na Čínu s názvom Spiral.

Ďalšie indikátory kompromisu spojeného s útokom sú dostupné z revidovaného poradenstva SolarWinds tu.

Aktualizácia: Tento článok bol aktualizovaný, aby odrážal, že útočníci nevyužili chybu SolarWinds na zacielenie na obranné a softvérové ​​spoločnosti. Zatiaľ neboli poskytnuté žiadne informácie o tom, kto bol napadnutý počas tohto zero-day útoku.