За вихідні кілька дослідників та дослідницьких груп опублікували списки від 100 до 280 організацій, які встановили троянізовану версію платформи SolarWinds Orion та мали внутрішні системи, заражені шкідливим програмним забезпеченням Sunburst.
Список включає назви технологічних компаній, органів місцевого самоврядування, університетів, лікарень, банків та операторів зв’язку.
Найбільші імена в цьому списку: Cisco, SAP, Intel, Cox Communications, Deloitte, Nvidia, Fujitsu, Belkin, Amerisafe, Lukoil, Rakuten, Check Point, Optimizely, Digital Reach та Digital Sense.
Вважається, що постраждала MediaTek, одна з найбільших у світі напівпровідникових компаній; хоча дослідники безпеки ще не на 100% ввпевнені.
Шкідливе програмне забезпечення Sunburst було введено в оновлення для програми SolarWinds Orion, випущеної в період з березня по червень 2020 року, пише ZDNet.
Запущені оновлення встановили шкідливе програмне забезпечення Sunburst глибоко у внутрішніх мережах багатьох компаній та урядових організацій, які покладались на додаток Orion для моніторингу та ведення реєстрів внутрішніх ІТ-систем.
Згідно з повідомленнями, опублікованими минулого тижня Microsoft, FireEye, McAfee, Symantec та Агентством США з питань кібербезпеки та інфраструктури ( CISA ), на заражених системах шкідливе програмне забезпечення збиратиме інформацію про мережу компанії-жертви, чекаючи від 12 до 14 днів, а потім надішле дані на віддалений сервер управління та керування (C&C).
Потім хакери, які, як вважають, є спонсоровані Росією, аналізуватимуть отримані дані та ескалують атаки лише на мережі, які цікавлять їх цілі збору розвідданих.
Нагадаємо, що минулого тижня SolarWinds зізнався у зламі і заявив, що на основі внутрішньої телеметрії майже 18 000 із 300 000 клієнтів завантажили версії платформи Orion, що містять шкідливе програмне забезпечення Sunburst.
Згідно з дослідженнями, опублікованими минулого тижня, Sunburst надсилатиме дані, зібрані з зараженої мережі, на URL-адресу сервера C&C, яка є унікальною для кожної жертви.
Ця унікальна URL-адреса була субдоменом для avsvmcloud [.] Com і містила чотири частини, де перша частина являла собою випадковий рядок. Але дослідники безпеки заявили, що цей рядок насправді не був унікальним, а містив закодовану назву домену локальної мережі жертви.
Такі компанії, як Cisco та Intel, офіційно підтвердили, що заразилися. Обидві компанії заявили, що не знайшли доказів того, що хакери посилили доступ для доставки корисних навантажень другого рівня до своїх систем.
VMWare та Microsoft також підтвердили, що вони встановили троянізовані оновлення Orion у своїх внутрішніх мережах, але також зазначили, що вони також не знайшли жодних доказів ескалації з боку зловмисників.
Однак хакери все ж посилили свої атаки на мережі деяких своїх цілей. В інтерв’ю в п’ятницю генеральний директор FireEye, компанія якого виявила хакерство SolarWinds, розслідуючи порушення її внутрішніх систем, заявив, що хакери, незважаючи на зараження майже 18 000 мереж, лише посилили доступ до близько 50 цілей , виходячи з видимості FireEye.
В окремому звіті, також опублікованому в п’ятницю, Microsoft також зазначила, що ідентифікувала 40 власних клієнтів, які встановили заражені програми Orion і до яких зловмисники посилили доступ.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як безпечно робити покупки в Інтернеті на новорічні свята? Поради
Як безпечно організовувати і брати участь в онлайн-зустрічах?
Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ
Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.
Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.
До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion
Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.