Центр Microsoft Threat Intelligence Center (MSTIC) сообщил во вторник, что программное обеспечение SolarWinds было атаковано с помощью эксплойта нулевого дня группой хакеров, которую она называет «DEV-0322». Хакеры были сосредоточены на программном обеспечении SolarWinds Serv-U FTP с предполагаемой целью доступа к клиентам компании в оборонной промышленности США.
Атака нулевого дня была впервые обнаружена при обычном сканировании Microsoft 365 Defender. Программное обеспечение обнаружило «аномальный вредоносный процесс», который Microsoft объясняет более подробно в своем блоге, но похоже, что хакеры пытались сделать себя администраторами Serv-U, среди прочих подозрительных действий.
SolarWinds сообщила об эксплойте нулевого дня в пятницу, 9 июля, объяснив, что все выпуски Serv-U от 5 мая и ранее содержали уязвимость. Компания выпустила исправление для решения этой проблемы, и с тех пор эксплойт был исправлен, но Microsoft пишет, что если протокол Serv-U Secure Shell (SSH) подключен к Интернету, хакеры могут «удаленно запускать произвольный код с привилегиями, позволяя им выполнять такие действия, как установка и запуск вредоносных полезных нагрузок или просмотр и изменение данных ». Всем, кто использует более старое программное обеспечение Serv-U, рекомендуется как можно скорее обновить его.
Первый взлом, привлекший внимание к SolarWinds в декабре 2020 года, выявил сотни государственных учреждений и предприятий. В отличие от предыдущего взлома, который теперь широко связан с российской государственной группой хакеров под названием Cozy Bear, Microsoft заявляет, что эта атака нулевого дня возникла в Китае. DEV-0322 имеет привычку атаковать «объекты в секторе промышленной базы обороны США», пишет Microsoft, и известен тем, что «использует коммерческие решения VPN и скомпрометированные потребительские маршрутизаторы в своей инфраструктуре злоумышленников».
Источник: