Hétpecsét Információbiztonsági Egyesület

Körvonalazódik a SolarWinds kibertámadás áldozatainak listája

Tovább göngyölődnek a SolarWinds biztonsági botrány szálai, napvilágot látott a kibertámadásban érintett, a cég Sunburst malware-rel fertőzött Orion szoftverét használó szervezetek (részleges) listája.

A lajstromot a TrueSec, Prevasio és más biztonsági cégek szakértői a Sunburst malware visszafejtésével tudták összeállítani, azon nagyvállalatok, telkók, és kormányzati szervek mellett bankok, egyetemek sőt kórházak is ott vannak. A támadás nagyvállalati szegmenst célzó részében többek között a Cisco, az Intel, az Nvidia, a Fujitsu, a Belkin, az SAP, a Deloitte és a Check Point is érintett. Az akció mögött a szakértők továbbra is orosz állami hátterű hackereket vélnek, noha Oroszország tagadja, hogy köze lenne az akcióhoz.

Mint múlt héten kiderült, a SolarWinds mintegy 300 ezer Oriont használó ügyfeléből 18 ezren töltötték le annak Sunburst malware-rel megfertőzött verzióját - ugyanakkor az elkövetők a kártevőt letöltő bázisnak csak töredékén kezdtek valóban információgyűjtésbe, hogy minimalizálják a lebukás kockázatát. Így sikerülhetett a támadóknak mintegy 9 hónapon keresztül észrevétlennek maradni.

A napokban több biztonsági szakértő által is közzétett listákat, melyek egyes esetekben mintegy 280 szervezet nevét is tartalmazzák, a Sunburst vezérlőszervereivel való kommunikációja alapján sikerült összeállítani. A malware minden egyes áldozat esetében egyedi vezérlőszerver URL-t használt, amely valamennyi esetben az avsvmcloud.com egy aldoménjére mutatott. Míg a négy részből álló hivatkozás második és utolsó tagja állandó volt, a harmadik pedig (jó eséllyel az áldozat földrajzi régiójától függően) négy lehetséges variáns közül választották ki, addig az első tag egy elsőre véletlenszerűnek tűnő karaktersorból állt - későbbi elemzések során azonban kiderült, hogy az valójában az áldozatok helyi hálózati doménjeinek titkosított neve. Ezután az avsvmcloud felé tartó forgalom elemzésével a kutatók végül sikeresen visszafejtették a domének neveit, azok birtokában pedig az áldozatokat is azonosítani tudták.

A listák ugyanakkor egyelőre nem teljesek, azok kidolgozása jelenleg is zajlik. Az érintett cégek közül többen, így a Cisco és az Intel is megerősítette érintettségét az ügyben, korábban pedig a Microsoft is arról beszélt, telepítette rendszerein a malware-t tartalmazó Orion kiadást - noha a redmondi óriás nem talált illetéktelen adatgyűjtésre utaló jelet.

https://www.hwsw.hu/hirek/62714/solarwind-botrany-...

Megtekintés: 252