Microsoft выступила с официальным заявлением о том, что основной целью киберпреступников, которые атаковали ряд американских государственных ведомств и компаний, была возможность получения доступа к облачным ресурсам жертв после развёртывания бэкдоров в локальных сетях.
Команда Microsoft 365 Defender объяснила, что после проникновения во внутреннюю сеть организации с помощью бэкдора Sunburst киберпреступники старались всеми силами получить доступ к облачным ресурсам жертвы. «Бэкдор Sunburst – это своеобразная точка опоры, при помощи которой хакеры могли выбирать определенные организации, в которых хотят продолжить работу», – заявили в Microsoft 365 Defender.
Хакеры, которые стоят за взломом SolarWinds, сначала скомпрометировали систему сборки SolarWinds Orion Platform и использовали ее, чтобы доставить бэкдор, внедренный в качестве легитимной DLL через систему обновления ПО. После загрузки DLL (в момент запуска приложения) бэкдор обращался к командному серверу, что и позволяло киберпреступникам проникнуть во внутреннюю сеть компании.
«После проникновения хакеры повышали привилегии в системе, перемещались по сети жертвы с определенной целью – получение прав администратора или кража частного ключа подписи SAML. Сразу после этого они подделывали доверенные токены SAML, позволяющие им получить доступ к облачным ресурсам, извлечь электронные письма из интересующих аккаунтов», – заявили в Microsoft 365 Defender.
ФБР, в свою очередь, представило руководство TLP:WHITE Private Industry Notification, с помощью которого системные администраторы и специалисты по кибербезопасности смогут быстро определить, использовались ли в подконтрольных им системах уязвимости SolarWinds.
Агентство по кибербезопасности и безопасности инфраструктуры США совместно с компанией Crowsstrike выпустили бесплатные инструменты для обнаружения вредоносной активности, поиска аномалий использования токенов SAML в журналах аудита, перечисления привилегий, которые были назначены клиенту Azure.
Для профилактики подобных атак Агентство национальной безопасности США рекомендует использовать многофакторную аутентификацию, удалять ненужные приложения с учетными данными, отключать устаревшую аутентификацию и использовать аппаратный модуль безопасности (HSM) с проверкой FIPS для защиты секретных ключей.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
