Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
31.12.2020

Microsoft определила конечную цель взломавших SolarWinds хакеров

По мнению специалистов Microsoft, конечной целью взломавших SolarWinds хакеров было получение доступа к облачным активам жертв через установленный в их сетях бэкдор Sunburst/Solorigate.

Как пояснила команда Microsoft 365 Defender Team, проникнув через бэкдор в локальную сеть атакуемой организации, злоумышленники начинали охоту за ее облачными активами за пределами локальной сети.

«Со столь обширным плацдармом атакующие могли выбирать конкретные организации, в которых они хотели продолжать свои операции (в то же время остальные оставались доступными, пока бэкдор находился в их сетях и не был обнаружен)», - сообщили специалисты.

В предыдущих публикациях Microsoft об атаке на цепочку поставок SolarWinds и руководстве Агентства национальной безопасности США также вскользь упоминалось, что конечной целью злоумышленников было создание токенов SAML (Security Assertion Markup Language) для подделки токенов аутентификации, обеспечивающих доступ к облачным ресурсам.

Microsoft подробно описала использовавшуюся злоумышленниками процедуру получения доступа к облачным ресурсам своих жертв:

Использование скомпрометированной библиотеки DLL SolarWinds для активации бэкдора, позволяющего злоумышленникам удаленно управлять устройством;

Использование бэкдора для доступа и кражи учетных данных, повышения привилегий и горизонтального перемещения по сети, чтобы получить возможность создавать действительные токены SAML одним из двух методов: похитив сертификат для подписи SAML или добавив/изменив существующие настройки доверия федерации;

Использование созданных злоумышленниками токенов SAML для доступа к облачным ресурсам и выполнения действий, ведущих к краже электронных писем и сохранению персистентности в облаке.

Напомним, ранее в этом месяце техасский производитель программного обеспечения SolarWinds сообщил о том, что хакеры получили доступ к его сетям и внедрили бэкдор Sunburst/Solorigate в обновления для платформы Orion. Вредоносное обновление загрузили 18 тыс. из 33 тыс. пользователей платформы, однако, по словам специалистов, только сорок (около 0,2%) из них подверглось дальнейшим кибератакам через установленный бэкдор.