Виновников взлома SolarWinds было два, новой жертвой стала Cisco

Хотя взлом SolarWinds был главным образом нацелен на правительственные ведомства, количество затронутых им частных компаний продолжает расти. Сведения о том, что объектом атаки стала корпорация Intel, ожидают официального подтверждения, в отличие от признанного в прошлую пятницу компанией Cisco Systems факта проникновения вредоносного ПО на компьютеры в её внутренней сети.

Cisco не использует SolarWinds Orion для управления или мониторинга корпоративной сети, однако атака «затронула программное обеспечение в небольшом количестве лабораторных сред и ограниченном количестве оконечных устройств сотрудников».

Компания добавила, что ее группа безопасности оперативно отреагировала на инцидент и проблема была устранена. «В настоящее время нет никаких известных последствий для предложений или продуктов Cisco», — говорится в заявлении для прессы.

В первые несколько дней после обнародования информации о взломе SolarWinds в отчётах упоминались две вредоносные нагрузки второго уровня. Однако в ходе последующего анализа, проведенного группами безопасности Microsoft, выяснилось, что веб-оболочка .NET под названием Supernova не была частью исходной цепочки атак, в которой троянец под кодовым названием Sunburst (или Solorigate), доставлялся клиентам SolarWinds в качестве обновления для приложения Orion.

«Комплексное расследование взлома SolarWinds привело к обнаружению дополнительной вредоносной программы, которая также связана с продуктом SolarWinds Orion, но, скорее всего, не имеет отношения к этой компрометации и используется другим злоумышленником», — сообщила в блоге исследовательская группа Microsoft 365 Defender.

В анализе, опубликованном поздно вечером, 18 декабря, Microsoft заявила, что в отличие от Sunburst DLL, Supernova DLL не была подписана легитимным цифровым сертификатом SolarWinds.

Эта ошибка слишком вопиющая для первой группы хакеров, которых характеризует высокое внимание к деталям в своей работе. Свой взлом они готовили несколько месяцев, действуя необнаруженными во внутренней сети SolarWinds, и заранее добавили в Orion фиктивный буферный код, чтобы замена его позже на вредоносный код выглядела как инициатива самих разработчиков SolarWinds.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365