Обнаружена дополнительная инфраструктура, использовавшаяся в атаках SolarWinds
23 апреля 2021 года
Хакерская операция SolarWinds, о которой стало известно в декабря 2020 года, отличается высокой сложностью и огромным набором тактик, используемых злоумышленниками для проникновения и сохранения постоянства в инфраструктуре атакуемых организаций. Специалисты Microsoft охарактеризовали стоящих за атаками киберпреступников как «квалифицированных и методичных операторов, следующим передовым методам обеспечения безопасности операций (OpSec) для того, чтобы минимизировать следы, оставаться вне поля зрения и избежать обнаружения».
Еще одним подтверждением высокой квалификации хакеров стал новый отчет ИБ-компании RiskIQ. По данным исследователей, киберпреступники тщательно планировали каждый этап атаки во избежание создания шаблонов. Избегая шаблонов, хакеры затруднили отслеживание вредоносной активности и усложнили криминалистическую экспертизу.
Анализируя телеметрические данные, связанные с опубликованными ранее индикаторами компрометации, исследователи обнаружили дополнительный набор из 18 серверов, использовавшийся для связи с вторичной полезной нагрузкой Cobalt Strike, доставляемой вредоносным ПО TEARDROP и RAINDROP.
«Скрытые паттерны» были выявлены в процессе анализа использовавшихся киберпреступниками SSL-сертификатов.
Правительство США возложило ответственность за атаки на хакерскую группировку APT29. Тем не менее, различные ИБ-компании отслеживают киберпреступную группировку под разными названиями, в том числе UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unit 42), StellarParticle (Crowdstrike) и Dark Halo (Volexity). Специалисты ссылаются на различия в тактиках, техниках и процедурах (TTP), использовавшихся в атаках SolarWinds, и TTP известных киберпреступных группировок, в том числе. APT29.
«Исследователи или продукты, настроенные на обнаружение известной активности APT29, не смогут распознать кампанию в том виде, в каком она происходит. Вот почему мы так мало знали о более поздних этапах кампании SolarWinds», - пояснил директор RiskIQ по анализу угроз Кевин Ливелли (Kevin Livelli).
Как ранее в нынешнем году отметили специалисты Microsoft, злоумышленники приложили все усилия, чтобы первоначальный бэкдор (SUNBURST, он же Solorigate) и закладки после компрометации (TEARDROP и RAINDROP) оставались максимально разделенными, и их вредоносная активность не была обнаружена. Это было сделано для того, чтобы в случае обнаружения имплантов Cobalt Strike в сетях жертвы скомпрометированный двоичный файл SolarWinds и атака на цепочку поставок оставались незамеченными.
Как пояснил Ливелли, выявление следов инфраструктуры злоумышленников
обычно включает в себя сопоставление IP-адресов и доменов с известными вредоносными кампаниями с целью выявления закономерностей. «Однако как показывает наш анализ, группировка приняла меры, чтобы сбить исследователей с их следа», - сообщил исследователь.
Источники править
Эта статья содержит материалы из статьи «Обнаружена дополнительная инфраструктура, использовавшаяся в атаках SolarWinds», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.