:

Szerző: Hlács Ferenc

2020. december 22. 13:33

Körvonalazódik a SolarWinds kibertámadás áldozatainak listája

Biztonsági szakértők több száz, a támadásban érintett vállalatot, kormányzati szervet és egyetemet is azonosítottak.

Tovább göngyölődnek a SolarWinds biztonsági botrány szálai, napvilágot látott a kibertámadásban érintett, a cég Sunburst malware-rel fertőzött Orion szoftverét használó szervezetek (részleges) listája.

A lajstromot a TrueSec, Prevasio és más biztonsági cégek szakértői a Sunburst malware visszafejtésével tudták összeállítani, azon nagyvállalatok, telkók, és kormányzati szervek mellett bankok, egyetemek sőt kórházak is ott vannak. A támadás nagyvállalati szegmenst célzó részében többek között a Cisco, az Intel, az Nvidia, a Fujitsu, a Belkin, az SAP, a Deloitte és a Check Point is érintett. Az akció mögött a szakértők továbbra is orosz állami hátterű hackereket vélnek, noha Oroszország tagadja, hogy köze lenne az akcióhoz.

Mint múlt héten kiderült, a SolarWinds mintegy 300 ezer Oriont használó ügyfeléből 18 ezren töltötték le annak Sunburst malware-rel megfertőzött verzióját - ugyanakkor az elkövetők a kártevőt letöltő bázisnak csak töredékén kezdtek valóban információgyűjtésbe, hogy minimalizálják a lebukás kockázatát. Így sikerülhetett a támadóknak mintegy 9 hónapon keresztül észrevétlennek maradni.

secbreachill

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A napokban több biztonsági szakértő által is közzétett listákat, melyek egyes esetekben mintegy 280 szervezet nevét is tartalmazzák, a Sunburst vezérlőszervereivel való kommunikációja alapján sikerült összeállítani. A malware minden egyes áldozat esetében egyedi vezérlőszerver URL-t használt, amely valamennyi esetben az avsvmcloud.com egy aldoménjére mutatott. Míg a négy részből álló hivatkozás második és utolsó tagja állandó volt, a harmadik pedig (jó eséllyel az áldozat földrajzi régiójától függően) négy lehetséges variáns közül választották ki, addig az első tag egy elsőre véletlenszerűnek tűnő karaktersorból állt - későbbi elemzések során azonban kiderült, hogy az valójában az áldozatok helyi hálózati doménjeinek titkosított neve. Ezután az avsvmcloud felé tartó forgalom elemzésével a kutatók végül sikeresen visszafejtették a domének neveit, azok birtokában pedig az áldozatokat is azonosítani tudták.

A listák ugyanakkor egyelőre nem teljesek, azok kidolgozása jelenleg is zajlik. Az érintett cégek közül többen, így a Cisco és az Intel is megerősítette érintettségét az ügyben, korábban pedig a Microsoft is arról beszélt, telepítette rendszerein a malware-t tartalmazó Orion kiadást - noha a redmondi óriás nem talált illetéktelen adatgyűjtésre utaló jelet.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról