Компанії Microsoft, FireEye та GoDaddy об’єдналися у створенні перемикача-кіллера для бекдора SolarWinds Sunburst, який примушує це шкідливе програмне забезпечення згортати свою діяльність.
Минулого тижня стало відомо, що фінансовані Росією хакери зламали компанію SolarWinds та додали шкідливий код до файлу DLL Windows, що використовується їхньою платформою моніторингу Orion, пише Bleeping Computer.
Цей шкідливий файл є бекдор-системою, що відслідковується як Solarigate (Microsoft) або Sunburst (FireEye) і був розповсюджений за допомогою механізму автоматичного оновлення SolarWinds приблизно 18 тисячам клієнтів, включаючи Казначейство США, Національне управління телекомунікацій та інформації США (NTIA) та Міністерство національної безпеки США.
В рамках узгодженого розкриття інформації з Microsoft та SolarWinds FireEye опублікувала звіт з аналізом атаки ланцюга поставок та того, як працює бекдор Sunburst. Це дослідження показало, що бекдор Sunburst підключатиметься до командного та контрольного сервера (C2) на піддомені avsvmcloud[.]сom, щоб отримувати “завдання” або команди для виконання.
У звіті FireEye також виявлено, що якщо сервер C2 вирішить проблему з IP-адресою в одному з наступних діапазонів:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
- 224.0.0.0/3
- fc00:: – fe00::
- fec0:: – ffc0::
- ff00:: – ff00::
- 20.140.0.0/15
- 96.31.172.0/24
- 131.228.12.0/22
- 144.86.226.0/24
Після цього шкідливе програмне забезпечення завершить роботу та оновить налаштування, тому шкідливе програмне забезпечення більше ніколи не запускатиметься.
Вчора домен контрольного та командного avsvmcloud[.]сom був вилучений і тепер переходить на IP-адресу 20.140.0.1, яка належить корпорації Microsoft. Це поглинання домену дозволяє корпорації Microsoft та її партнерам виявити зловмисний трафік та проаналізувати його для виявлення подальших жертв.
У заяві, надісланій Bleeping Computer, FireEye пояснює, що вони використовували поглинання avsvmcloud[.]com для створення перемикача-кіллера, який вивантажує шкідливе програмне забезпечення Sunburst на заражені машини.
“SUNBURST – це шкідливе програмне забезпечення, яке поширювалося через програмне забезпечення SolarWinds. В рамках аналізу SUNBURST FireEye ми виявили кіллера, який заважав SUNBURST продовжувати працювати. Цей убивчий ключ вплине на нові та попередні зараження SUNBURST, вимкнувши розгортання SUNBURST”, – заявила FireEye.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Онлайн-шопінг перед святами: п’ять правил безпеки
Як переказати кошти за допомогою Google Pay? – ІНСТРУКЦІЯ
Як шукати відкриті вкладки у Google Chrome? – ІНСТРУКЦІЯ
Чим відеочат відрізняється від особистого спілкування?
Як захистити онлайн-платежі на Вашому смартфоні від зазіхань хакерів? ПОРАДИ
Як вимкнути надокучливий звук сповіщень у WhatsApp? – ІНСТРУКЦІЯ
Зверніть увагу, що у 2021 році продовжать удосконалюватися програми-вимагачі та складні загрози без використання файлів. Крім цього, у центрі уваги знову опиняться проблеми безпеки Інтернету речей, зокрема численні уразливості у “розумних” інтимних іграшках.
До речі, цифрові помічники – це чудові інструменти для отримання інформації, швидких розрахунків, придбання рецептів продуктів харчування, пошуку місць розташування, управління своїми розумними домашніми пристроями тощо. Однак з точки зору безпеки та конфіденційності Ви можете здивуватися, наскільки ці чудові служби знають багато про Вас інформації.
Також сьогодні практично у кожного в кишені лежить смартфон, тому є сенс використовувати його для безконтактної оплати речей. Ось тут з’являються мобільні платіжні платформи, такі як Google Pay. Однак за допомогою Google Pay можна робити набагато більше, ніж просто платежі. Нещодавно Google cуттєво оновила Google Pay – там з’явилася купа нових функцій.
