Анализ: атака нулевого дня SolarWinds
Середина июля 2021 года была темным временем для поставщика программного обеспечения SolarWinds из Техаса, поскольку компания столкнулась с атакой со стороны одного злоумышленника, который использовал недостатки безопасности как в своих продуктах Serv-U Managed File Transfer, так и в продуктах Serv-U Secure FTP. Эта атака нулевого дня нанесла значительный ущерб ограниченному числу клиентов SolarWinds, что подчеркнуло необходимость в надежных системах киберзащиты и мерах по предотвращению подобных атак.
Атака нулевого дня SolarWinds началась 15 июля, когда один злоумышленник воспользовался уязвимостями безопасности как в Serv-U Managed File Transfer (MFT), так и в Serv-U Secure FTP, которые широко используются предприятиями и частными лицами для безопасной передачи файлов между системы. Злоумышленник атаковал клиентов в неназванной стране, хотя считается, что атаки исходили из Китая.
Microsoft предупредила SolarWinds об атаке нулевого дня
Компания SolarWinds узнала об атаке в тот же день после того, как ее предупредила Microsoft, заявив, что кибер-злоумышленники уже использовали ее для нападения на своих клиентов, комментируя «Microsoft предоставила доказательства», хотя воздействие было «ограниченным и целенаправленным».
По данным Microsoft, эти типы атак становятся все более распространенными, поскольку злоумышленники используют различные уязвимости в широком спектре программных продуктов.
Хотя с тех пор SolarWinds исправила проблемы безопасности и улучшила свои меры безопасности для предотвращения подобных атак в будущем, эта угроза подчеркивает необходимость того, чтобы предприятия и частные лица сохраняли бдительность в отношении кибербезопасности. Поскольку киберпреступники становятся все более опытными в использовании недостатков программного обеспечения, наличие надежной защиты сейчас важнее, чем когда-либо прежде.
Патч безопасности SolarWinds для Zero-Day
После этой разрушительной атаки компания SolarWinds быстро исправила уязвимости в системе безопасности с помощью исправления. В заявлении, опубликованном вскоре после обнаружения атак, SolarWinds признала атаку нулевого дня и пообещала принять меры для предотвращения атак в будущем.
Компания призвала своих клиентов немедленно обновить свои системы.
С постоянно растущим числом киберугроз, возникающих каждый день, крайне важно, чтобы компании и отдельные лица предпринимали шаги для защиты от подобных атак.
Кто стоял за атакой SolarWinds Zero-Day?
Как показывает этот инцидент, бывает сложно определить истинный источник кибератак и уязвимостей в системе безопасности.
Атака нулевого дня SolarWinds была осуществлена новым злоумышленником, известным как DEV-0322, который, как полагают, базируется в Китае. Предполагается, что злоумышленники использовали сложные методы и тактики, включая использование ранее неизвестных уязвимостей, для проведения атаки. Это говорит о том, что злоумышленники могли иметь в своем распоряжении значительные ресурсы.
Хотя пока неизвестно, кто стоял за нападением, похоже, оно было тщательно спланировано и осуществлено опытной группой с обширными ресурсами.
Дальнейшее чтение о нулевом дне SolarWinds
Microsoft создала специальную группу для исследования и анализа атак нулевого дня, таких как недавняя атака на SolarWinds. Эта группа, известная как группа Offensive Research & Security Engineering (ORSE), ориентирована на оказание поддержки таким командам, как MSTIC, обладающим передовым опытом разработки эксплойтов.
Эта новая команда ORSE была сформирована в связи с растущим числом и сложностью атак нулевого дня, нацеленных на такие предприятия, как SolarWinds. Их цель — предоставить Microsoft более глубокое понимание этих угроз, чтобы компания могла лучше защитить своих клиентов от подобных инцидентов в будущем.
Команда ORSE объединяет таланты опытных исследователей безопасности, инженеров, специалистов по данным и экспертов по предотвращению, чтобы помочь разработать новые средства защиты от атак нулевого дня. Сочетая передовые исследования с практическим применением, эта команда помогает сделать продукты Microsoft более безопасными и безопасными для всех.
Команда ORSE уже внесла большой вклад в области кибербезопасности, в том числе разработала ряд передовых методов для предотвращения эксплойтов нулевого дня. Их работа сыграла ключевую роль в обеспечении защиты от многих последних атак, и она будет оставаться важным фактором в обеспечении безопасности бизнеса в Интернете.
Технические подробности о SolarWinds Zero-Day предоставлены командой ORSE
Для тех, кто заинтересован, команда ORSE подробно изучила SSH в Serv-U, предоставив «наиболее вероятный пример такого кода»:
Вы можете следить за полным глубоким погружением в блоге Майкрософт.
Статьи по теме
Другие посты и статьи, которые могут вас заинтересовать.
