Namigi zlonamerne programske opreme Supernova povezujejo kitajsko skupino groženj Spiral z vdori v strežnik SolarWinds

Možno povezavo s Kitajsko so opazili raziskovalci, ki preučujejo izkoriščanje strežnikov SolarWinds za uvajanje zlonamerne programske opreme.

V ponedeljek je Secureworksova enota za boj proti grožnjam (CTU) sporočila, da je bil konec leta 2020 ogrožen internetni strežnik SolarWinds. uporablja kot odskočna deska za uvedbo Supernove, spletne lupine .NET.

Podobni vdori v isto omrežje nakazujejo, da je za oba primera kriva groženjska skupina Spiral, ki je osumljena kitajskega izvora.

Po mnenju raziskovalcev, CVE-2020-10148 aktivno izkorišča Spirala. To ranljivost najdemo v API-ju SolarWinds Orion in je opisana kot napaka obvoda pri preverjanju pristnosti, ki vodi do oddaljenega izvajanja ukazov API-ja.

Ko so odkriti in izkoriščeni ranljivi strežniki, se uporabi skript za pisanje Spletna lupina Supernova na disk z ukazom PowerShell.

Napisano v .NET, Supernovo opisuje Palo Alto Networks kot napredna spletna lupina, zasnovana ne samo za vzdrževanje obstojnosti na ogroženem računalniku, temveč tudi za eno ki je sposoben tudi prevesti "metodo, argumente in kodne podatke" v pomnilniku, pri čemer ostane malo forenzičnega sled.

"Napadalci so izdelali prikriti in polnopravni .NET API, vdelan v binarno datoteko Orion, katere uporabnik je običajno visoko privilegiran in postavljen z visoko stopnjo vidnosti v omrežju organizacije,« Palo Alto pravi. "Napadalci lahko nato poljubno konfigurirajo SolarWinds (in vse funkcije lokalnega operacijskega sistema v sistemu Windows, ki jih razkrije .NET SDK) z zlonamerno kodo C#. Koda se prevede sproti med benignim delovanjem SolarWinds in se izvaja dinamično."

V primeru, ki ga je opazil SecureWorks, se Supernova uporablja za izvajanje izvida, za preslikavo domen ter za krajo poverilnic in informacij.

Prejšnji vdor je bil izveden na strežniku ManageEngine ServiceDesk, dostop pa je bil pridobljen že leta 2018. V teh primerih so bili uporabljeni enaki ukazi in dostopani so bili isti strežniki -- krmilnik domene in sistem, ki vsebuje občutljive poslovne podatke -- in v obeh so bili ugrabljeni skupno trije ogroženi skrbniški računi napadi.

"Raziskovalci CTU so kitajske skupine groženj povezali z vdori v omrežje, ki vključujejo ciljanje na strežnike ManageEngine, vzdrževanje dolgoročnega dostopa do občasnega zbiranja poverilnic in izločanja podatkov ter vohunjenja ali kraje intelektualne lastnine,« ekipa opombe.

Ne verjame pa se, da so ti primeri povezani z uničujočimi Napad na dobavno verigo SolarWinds ki je potekal decembra 2020. Kibernetski napadalci so ogrozili verigo in uvedli zlonamerno posodobitev Oriona, kar je vplivalo na več kot 18.000 organizacij.

Microsoft ocenjuje, da so skupna prizadevanja zahtevala najmanj 1000 inženirjev ustaviti napad in pred kratkim našel tri nove komponente zlonamerne programske opreme povezan z napadom poleg Sunburst/Solorigate, Teardrop in Sunspot.

Posodobitev 18.22 GMT: Tiskovni predstavnik SolarWinds je za ZDNet povedal:

»To poročilo se sklicuje na incident, ko je bilo omrežje prvič ogroženo na način, ki ni bil povezan s SolarWinds. Ta kršitev je napadalcem omogočila dodajanje zlonamerne kode Supernova programski opremi Orion v omrežju stranke.

Pomembno je omeniti, da Supernova ni povezana s širokim in prefinjenim napadom na dobavno verigo, ki je bil usmerjen na več programskih podjetij kot vektorjev. Supernove ni niti podpisal niti dostavil SolarWinds, težava pa je bila obravnavana v posodobitvah platforme Orion, ki so bile izdane decembra."

Prejšnja in sorodna pokritost

• Microsoft: Našli smo še tri zlonamerne programske opreme, ki so jih uporabili napadalci SolarWinds
  
• Microsoft: Napad SolarWinds je ustvaril več kot 1000 inženirjev
  
• Varnostni fiasko SolarWinds se je morda začel s preprostimi napakami pri geslu
  

---

Imate namig? Varno stopite v stik prek WhatsApp | Signal na +447713 025 499 ali na Keybase: charlie0

---