Cel mai recent atac SolarWinds aparține hackerilor chinezi. Software-ul Orion de la SolarWinds a fost atacat în decembrie 2020.
Cel mai recent atac SolarWinds aparține hackerilor chinezi
Threat Intelligence Center (MSTIC) al Microsoft a raportat că software-ul SolarWinds a fost atacat cu un exploit zero-day de către un grup de hackeri pe care îi numește „DEV-0322”. Hackerii s-au concentrat pe software-ul FTP Serv-U al SolarWinds. Astfel, au putut accesa clienții companiei din industria de apărare din SUA.
Exploitul zero-day a fost identificat pentru prima dată într-o scanare de rutină Microsoft 365 Defender. Software-ul a observat un „proces anormal rău intenționat” pe care Microsoft îl explică mai detaliat în blogul său. Se pare că hackerii au încercat să se facă administratori Serv-U, printre alte activități suspecte.
SolarWinds a raportat exploitul zero-day vineri, 9 iulie
Compania a explicat că toate versiunile Serv-U eliberate până în 5 mai aveau această vulnerabilitate. Compania a lansat o remediere rapidă pentru a rezolva problema, iar exploitul a fost de atunci corectat.
Însă, Microsoft scrie că, dacă protocolul Serv-U Secure Shell (SSH) este conectat la internet, hackerii ar putea „rula de la distanță cod arbitrar cu privilegii, permițându-le să efectueze acțiuni precum instalarea și rularea încărcăturilor rău intenționate sau vizualizarea și modificarea datelor. ” Oricine rulează un software Serv-U mai vechi este încurajat să îl actualizeze cât mai curând posibil.
Primul hack care a pus SolarWinds în centrul atenției în decembrie 2020 a expus sute de agenții guvernamentale și companii. Microsoft spune că acest ultim atac zero-day are originea în China. DEV-0322 are obiceiul de a ataca „entitățile din sectorul bazei industriale de apărare din SUA”, scrie Microsoft și este cunoscut pentru „utilizarea soluțiilor VPN comerciale și a routerelor consumatorilor compromise în infrastructura atacatorului”.
