Microsoft: атаковавшие через SolarWinds хакеры хотели получить облачные данные жертв

Дата: 30.12.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Microsoft: атаковавшие через SolarWinds хакеры хотели получить облачные данные жертв

Microsoft выступила с официальным заявлением о том, что основной целью киберпреступников, которые атаковали ряд американских государственных ведомств и компаний, была возможность получения доступа к облачным ресурсам жертв после развёртывания бэкдоров в локальных сетях.

Команда Microsoft 365 Defender объяснила, что после проникновения во внутреннюю сеть организации с помощью бэкдора Sunburst киберпреступники старались всеми силами получить доступ к облачным ресурсам жертвы. «Бэкдор Sunburst – это своеобразная точка опоры, при помощи которой хакеры могли выбирать определенные организации, в которых хотят продолжить работу», – заявили в Microsoft 365 Defender.

Хакеры, которые стоят за взломом SolarWinds, сначала скомпрометировали систему сборки SolarWinds Orion Platform и использовали ее, чтобы доставить бэкдор, внедренный в качестве легитимной DLL через систему обновления ПО. После загрузки DLL (в момент запуска приложения) бэкдор обращался к командному серверу, что и позволяло киберпреступникам проникнуть во внутреннюю сеть компании.

«После проникновения хакеры повышали привилегии в системе, перемещались по сети жертвы с определенной целью – получение прав администратора или кража частного ключа подписи SAML. Сразу после этого они подделывали доверенные токены SAML, позволяющие им получить доступ к облачным ресурсам, извлечь электронные письма из интересующих аккаунтов», – заявили в Microsoft 365 Defender.

ФБР, в свою очередь, представило руководство TLP:WHITE Private Industry Notification, с помощью которого системные администраторы и специалисты по кибербезопасности смогут быстро определить, использовались ли в подконтрольных им системах уязвимости SolarWinds.

Агентство по кибербезопасности и безопасности инфраструктуры США совместно с компанией Crowsstrike выпустили бесплатные инструменты для обнаружения вредоносной активности, поиска аномалий использования токенов SAML в журналах аудита, перечисления привилегий, которые были назначены клиенту Azure.

Для профилактики подобных атак Агентство национальной безопасности США рекомендует использовать многофакторную аутентификацию, удалять ненужные приложения с учетными данными, отключать устаревшую аутентификацию и использовать аппаратный модуль безопасности (HSM) с проверкой FIPS для защиты секретных ключей.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *