Microsoft blokuje teraz backdoor Sunburst użyty w cyberataku SolarWinds, który pochłonął liczne ofiary na całym świecie.

Backdoor Sunburst jest kluczową cechą trwającego ataku na łańcuch dostaw, a opublikowanie globalnej sygnatury złośliwego oprogramowania powinno znacznie zmniejszyć zagrożenie.

Co to jest cyberatak SolarWinds?

W grudniu 2020 r. Liczne agencje rządowe USA ogłosiły, że padły ofiarą szeroko zakrojonej operacji hakerskiej. Backdoor do ataku został wstawiony przy użyciu złośliwej aktualizacji za pośrednictwem oprogramowania zarządzającego IT SolarWinds Orion i oprogramowania do zdalnego monitorowania.

W chwili pisania tego tekstu hack SolarWinds zażądał Skarbu USA wraz z departamentami bezpieczeństwa wewnętrznego, państwa, obrony i handlu jako ofiar, z potencjałem na więcej rewelacje.

Związane z: Ci eksperci ds. Bezpieczeństwa sprawiają, że Twoje życie jest bezpieczniejsze

Tych 10 ekspertów ds. Bezpieczeństwa sprawia, że ​​Twoje życie jest bezpieczniejsze

Wielu „ekspertów ds. Bezpieczeństwa” nie ma odpowiedniej wiedzy. Oto kilku ekspertów ds. Bezpieczeństwa, którzy robią i co robią, aby poprawić bezpieczeństwo.

Prawdziwy zasięg ataku SolarWinds nie jest jeszcze znany. Mówiąc do BBC, badacz cyberbezpieczeństwa, prof. Alan Woodward, powiedział: „Po zimnej wojnie jest to jedna z potencjalnie największych penetracji zachodnich rządów, o których wiem”.

Co to jest Backdoor Sunburst?

Planowanie tak rozległego ataku zajęło miesiące, jeśli nie lata. Atak został uruchomiony wraz z dostarczeniem nieodkrytej złośliwej aktualizacji oprogramowania SolarWinds Orion.

Bez wiedzy SolarWinds i ich użytkowników, z których wielu to departamenty rządowe, cyberprzestępca zainfekował aktualizację.

Aktualizacja została udostępniona co najmniej 18 000, a potencjalnie nawet 300 000 klientów. Po aktywacji aktualizacja uruchomiła strojanizowaną wersję oprogramowania Orion, umożliwiając atakującemu dostęp do komputera i szerszej sieci.

Ten proces jest znany jako atak na łańcuch dostaw. Włamanie zostało wykryte przez firmę FireEye, która sama padła ofiarą związanego z nią głośnego naruszenia danych w grudniu 2020 r.

Związane z: Wiodąca firma zajmująca się cyberbezpieczeństwem FireEye trafiona przez atak państwa

Plik Raport FireEye podsumowanie brzmi:

Aktorzy tej kampanii uzyskali dostęp do wielu organizacji publicznych i prywatnych na całym świecie. Uzyskali dostęp do ofiar poprzez trojanizowane aktualizacje oprogramowania Orion do monitorowania i zarządzania IT firmy SolarWind. Ta kampania mogła rozpocząć się już wiosną 2020 r. I jest obecnie w toku. Działania po kompromisie w następstwie tego kompromisu w łańcuchu dostaw obejmowały ruchy boczne i kradzież danych.

Sunburst to zatem nazwa, którą FireEye śledzi cyberatak, oraz nazwa nadana szkodliwemu oprogramowaniu dystrybuowanemu za pośrednictwem oprogramowania SolarWinds.

W jaki sposób firma Microsoft blokuje backdoor Sunburst?

Firma Microsoft wprowadza funkcje wykrywania dla swoich narzędzi bezpieczeństwa. Po wysłaniu sygnatury złośliwego oprogramowania do Zabezpieczeń systemu Windows (dawniej Windows Defender) komputery z systemem Windows 10 będą chronione przed złośliwym oprogramowaniem.

Zgodnie z Zespół analizy zagrożeń usługi Microsoft 365 Defender blog:

Od środy 16 grudnia o godzinie 8:00 czasu PST program Microsoft Defender Antivirus zacznie blokować znane złośliwe pliki binarne SolarWinds. Spowoduje to umieszczenie pliku binarnego w kwarantannie, nawet jeśli proces jest uruchomiony.

Firma Microsoft oferuje również następujące dodatkowe kroki bezpieczeństwa, jeśli napotkasz złośliwe oprogramowanie Sunburst:

  1. Natychmiast izoluj zainfekowane urządzenie lub urządzenia. Istnieje duże prawdopodobieństwo, że jeśli znajdziesz złośliwe oprogramowanie Sunburst, Twoje urządzenie prawdopodobnie znajduje się pod kontrolą osoby atakującej.
  2. Jeśli na zainfekowanym urządzeniu były używane jakiekolwiek konta, należy uznać, że zostały one przejęte. Zresetuj hasło związane z kontem lub całkowicie zlikwiduj konto.
  3. Jeśli to możliwe, zacznij badać, w jaki sposób włamano się do urządzenia.
  4. Jeśli to możliwe, zacznij szukać wskaźników, że złośliwe oprogramowanie przeniosło się na inne urządzenia, zwane ruchem bocznym.

Dla większości ludzi najważniejsze są pierwsze dwa kroki bezpieczeństwa. Możesz również znaleźć więcej informacji o zabezpieczeniach na SolarWinds teren.

Nie ma potwierdzenia tożsamości napastników, ale uważa się, że praca jest dziełem wysoce wyrafinowanego i dysponującego odpowiednimi zasobami zespołu hakerskiego z państw narodowych.

E-mail
Czy naprawdę potrzebujesz ubezpieczenia cybernetycznego? 4 pytania, które należy zadać, zanim je zdobędziesz

Ubezpieczenia od cyberprzestępczości to rozwijająca się branża, którą bada wiele organizacji. Ale czy jest to opłacalna inwestycja?

Powiązane tematy
  • Bezpieczeństwo
  • Wiadomości techniczne
  • Windows Defender
  • Złośliwe oprogramowanie
  • Tylne drzwi
O autorze
Gavin Phillips (708 opublikowanych artykułów)

Gavin jest młodszym edytorem Windows and Technology Explained, stałym współpracownikiem Really Useful Podcast oraz redaktorem siostrzanej witryny MakeUseOf, Blocks Decoded, skupiającej się na kryptografii. Posiada tytuł licencjata (z wyróżnieniem) w zakresie współczesnego pisania z praktykami sztuki cyfrowej zrabowanych ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie w pisaniu. Uwielbia herbatę, gry planszowe i piłkę nożną.

Więcej od Gavina Phillipsa

Zapisz się do naszego newslettera

Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Jeszcze jeden krok…!

Potwierdź swój adres e-mail w wiadomości e-mail, którą właśnie wysłaliśmy.

.