Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 23

Интересно, какая череда событий и децствий привела к обнаружению бекдора

Всего голосов 2: ↑2 и ↓0+2
Админ наконец-то прошел уровень и решил глянуть логи?
Всего голосов 16: ↑16 и ↓0+16
НЛО прилетело и опубликовало эту надпись здесь
Действительно любопытно, почему упорно не рассматривается версия (банально в соответствии с бритвой Оккама), что этот «троян» распространялся с ведома и одобрения самих SolarWinds — например, в рамках какой-нибудь «программы сотрудничества с правоохранительными органами». А когда все вскрылось, начались сказки про on-premises compromise и русских хакеров.
Всего голосов 19: ↑18 и ↓1+17
Ваша правда. Кто сделал не так важно, важно кто подписал. И тот кто подписал не сможет доказать, что это не он его сделал.
Всего голосов 1: ↑1 и ↓0+1
… это серьёзный фейл антивирусных компаний...
Хм, а них, типа, есть специальный хрустальный шар, который различает якобы «легальный» трафик якобы «обновлений» и якобы «телеметрии» от «зловредного».
… невозможно установить разработчиков программы...
Хм, ЭЦП на что? Типа, чья подпись тот и нехороший человек! Того бы и в кутузку (если б не презумпция невиновности в уголовном праве). Но… ущерб точно с них, весь, до последней копеечки!
Всего голосов 5: ↑5 и ↓0+5
Хм, а них, типа, есть специальный хрустальный шар, который различает якобы «легальный» трафик якобы «обновлений» и якобы «телеметрии» от «зловредного».

Теоретически они могли бы обнаружить, что с обновлением прилетела заражённая библиотека. Впрочем, в ней там довольно много способов обнаружить антивирусы используется.

Всего голосов 2: ↑1 и ↓10
НЛО прилетело и опубликовало эту надпись здесь

Трафик на посторонний домен, на который до обновления ничего не было?

Всего голосов 2: ↑2 и ↓0+2
НЛО прилетело и опубликовало эту надпись здесь
Возможно я неправ, но для компаний уровня SolarWinds можно было бы и специально антивирус настроить пожёстче, тем более если он установлен на сервере с файлами обновлений их софта.
Всего голосов 1: ↑1 и ↓0+1

А если делать так?

Комментарий пока не оценивали0
российским хакерам из группировки APT29 (Cozy Bear), исходя из… физического проникновения в офис жертвы.

Это наиболее непонятно. Почему именно APT29, если есть физическое проникновение?
Всего голосов 2: ↑2 и ↓0+2

О том, что виновата APT29, заявил Washington Post "со ссылкой на собственные источники". И 18 декабря Помпео сказал "он верит, что это были русские".


Касательно "физического проникновения" — мне кажется, это переводчик ошибся. В статье Microsoft перечислен краткий список того, что делали атакущие. Первый пункт — вторжение через Orion, второй


Once in the network, the intruder then uses the administrative permissions acquired through the on-premises compromise to gain access to the organization’s global administrator account and/or trusted SAML token signing certificate.

То есть скорее всего имеется в виду не физический доступ, а развитие атаки после внедрения бэкдора.


И это к тому же про атаки уже на клиентов SolarWinds. Про внедрение вредоносного кода в саму библиотеку там написано


research indicates that the attackers might have compromised internal build or distribution systems of SolarWinds…. Microsoft security researchers currently have limited information about how the attackers compromised these platforms.
Всего голосов 3: ↑3 и ↓0+3
Ну они же не могут сказать «мы обосрались», нужно найти крайних. А злые «русские хакеры» на эту роль подходят как нельзя лучше. Кста вполне могло случится так, что физического проникновения и не было, просто какой-то рукастый админ оставил внутренний сервис голой жопой наружу, а уже через него утащили приватник для подписи файлов. Кто знает…
Всего голосов 15: ↑13 и ↓2+11

Собственно от FireEye, от Microsoft или самих SolarWinds я такого утверждения не нашёл. Так что мне кажется, что про "злых русских" придумали политики. Демократам сейчас это в тему.


А Трамп намекает на Китай))

Всего голосов 1: ↑1 и ↓0+1

"Утащить приватник" мало, надо еще подписанное внедрить в легитимные пайплайны распространения.

Комментарий пока не оценивали0
В habr.com/ru/news/t/533324 пишут что некоторое время назад SolarWinds банально выкатили пароли в гитхаб. Ну а уж о том что пароль solarwinds123 слабоват я вообще молчу.
Всего голосов 2: ↑2 и ↓0+2
Данные авторизации взломанного «русскими хакерами» SolarWinds нашли на GitHub еще в 2019 году
habr.com/ru/news/t/533324
Комментарий пока не оценивали0
Зачем нам админы умные, нам нужен сервис который обо всём позаботится, ведь там же професионалы, а значит пусть их софт что хочет то и делает… Сэкономили называется.
Всего голосов 1: ↑1 и ↓0+1
НЛО прилетело и опубликовало эту надпись здесь
Пока «хакеры» не выставять на всеобщее обозрение парочку вкусных «трофеев» с публичной доказуемостью, остаётся считать это лишь инсценировкой и политической игрой на публику. Когда ломанули Эквифакс, эти доказательства были.
Комментарий пока не оценивали0
Регулярные выражения — это гнусный инструмент хакеров! нужно немеджленно их запретить! особенно такие вероломные, как \{[0-9a-f-]{36}\}, ишь чего удумали, ууиды выбирать
Комментарий пока не оценивали0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr