Информация

Дата основания
1996
Местоположение
Япония
Сайт
www.globalsign.com
Численность
Неизвестно
Дата регистрации

Блог на Хабре

Обновить
Комментарии 22

Интересно, какая череда событий и децствий привела к обнаружению бекдора

Админ наконец-то прошел уровень и решил глянуть логи?
Да сами же они и сделали этот троян, ведь не могли же какеры как Карлсон, пролететь через окно в офис и совершить локальный взлом.
Действительно любопытно, почему упорно не рассматривается версия (банально в соответствии с бритвой Оккама), что этот «троян» распространялся с ведома и одобрения самих SolarWinds — например, в рамках какой-нибудь «программы сотрудничества с правоохранительными органами». А когда все вскрылось, начались сказки про on-premises compromise и русских хакеров.
Ваша правда. Кто сделал не так важно, важно кто подписал. И тот кто подписал не сможет доказать, что это не он его сделал.
… это серьёзный фейл антивирусных компаний...
Хм, а них, типа, есть специальный хрустальный шар, который различает якобы «легальный» трафик якобы «обновлений» и якобы «телеметрии» от «зловредного».
… невозможно установить разработчиков программы...
Хм, ЭЦП на что? Типа, чья подпись тот и нехороший человек! Того бы и в кутузку (если б не презумпция невиновности в уголовном праве). Но… ущерб точно с них, весь, до последней копеечки!
Хм, а них, типа, есть специальный хрустальный шар, который различает якобы «легальный» трафик якобы «обновлений» и якобы «телеметрии» от «зловредного».

Теоретически они могли бы обнаружить, что с обновлением прилетела заражённая библиотека. Впрочем, в ней там довольно много способов обнаружить антивирусы используется.

И как антивирусам узнать, что новая библиотека заражена, если она не проявляет явной вирусной активности и ведёт себя в рамках рабочего функционала программы?

Трафик на посторонний домен, на который до обновления ничего не было?

будет очень много ложных срабатываний на теже игровые лаунчеры и автобновляторы программ
Возможно я неправ, но для компаний уровня SolarWinds можно было бы и специально антивирус настроить пожёстче, тем более если он установлен на сервере с файлами обновлений их софта.
российским хакерам из группировки APT29 (Cozy Bear), исходя из… физического проникновения в офис жертвы.

Это наиболее непонятно. Почему именно APT29, если есть физическое проникновение?

О том, что виновата APT29, заявил Washington Post "со ссылкой на собственные источники". И 18 декабря Помпео сказал "он верит, что это были русские".


Касательно "физического проникновения" — мне кажется, это переводчик ошибся. В статье Microsoft перечислен краткий список того, что делали атакущие. Первый пункт — вторжение через Orion, второй


Once in the network, the intruder then uses the administrative permissions acquired through the on-premises compromise to gain access to the organization’s global administrator account and/or trusted SAML token signing certificate.

То есть скорее всего имеется в виду не физический доступ, а развитие атаки после внедрения бэкдора.


И это к тому же про атаки уже на клиентов SolarWinds. Про внедрение вредоносного кода в саму библиотеку там написано


research indicates that the attackers might have compromised internal build or distribution systems of SolarWinds…. Microsoft security researchers currently have limited information about how the attackers compromised these platforms.
Ну они же не могут сказать «мы обосрались», нужно найти крайних. А злые «русские хакеры» на эту роль подходят как нельзя лучше. Кста вполне могло случится так, что физического проникновения и не было, просто какой-то рукастый админ оставил внутренний сервис голой жопой наружу, а уже через него утащили приватник для подписи файлов. Кто знает…

Собственно от FireEye, от Microsoft или самих SolarWinds я такого утверждения не нашёл. Так что мне кажется, что про "злых русских" придумали политики. Демократам сейчас это в тему.


А Трамп намекает на Китай))

"Утащить приватник" мало, надо еще подписанное внедрить в легитимные пайплайны распространения.

В habr.com/ru/news/t/533324 пишут что некоторое время назад SolarWinds банально выкатили пароли в гитхаб. Ну а уж о том что пароль solarwinds123 слабоват я вообще молчу.
Данные авторизации взломанного «русскими хакерами» SolarWinds нашли на GitHub еще в 2019 году
habr.com/ru/news/t/533324
Зачем нам админы умные, нам нужен сервис который обо всём позаботится, ведь там же професионалы, а значит пусть их софт что хочет то и делает… Сэкономили называется.
НЛО прилетело и опубликовало эту надпись здесь
Пока «хакеры» не выставять на всеобщее обозрение парочку вкусных «трофеев» с публичной доказуемостью, остаётся считать это лишь инсценировкой и политической игрой на публику. Когда ломанули Эквифакс, эти доказательства были.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.