Szerző: Hlács Ferenc

2020. december 22. 13:33

Körvonalazódik a SolarWinds kibertámadás áldozatainak listája

Biztonsági szakértők több száz, a támadásban érintett vállalatot, kormányzati szervet és egyetemet is azonosítottak.

Tovább göngyölődnek a SolarWinds biztonsági botrány szálai, napvilágot látott a kibertámadásban érintett, a cég Sunburst malware-rel fertőzött Orion szoftverét használó szervezetek (részleges) listája.

A lajstromot a TrueSec, Prevasio és más biztonsági cégek szakértői a Sunburst malware visszafejtésével tudták összeállítani, azon nagyvállalatok, telkók, és kormányzati szervek mellett bankok, egyetemek sőt kórházak is ott vannak. A támadás nagyvállalati szegmenst célzó részében többek között a Cisco, az Intel, az Nvidia, a Fujitsu, a Belkin, az SAP, a Deloitte és a Check Point is érintett. Az akció mögött a szakértők továbbra is orosz állami hátterű hackereket vélnek, noha Oroszország tagadja, hogy köze lenne az akcióhoz.

Mint múlt héten kiderült, a SolarWinds mintegy 300 ezer Oriont használó ügyfeléből 18 ezren töltötték le annak Sunburst malware-rel megfertőzött verzióját - ugyanakkor az elkövetők a kártevőt letöltő bázisnak csak töredékén kezdtek valóban információgyűjtésbe, hogy minimalizálják a lebukás kockázatát. Így sikerülhetett a támadóknak mintegy 9 hónapon keresztül észrevétlennek maradni.

secbreachill

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

A napokban több biztonsági szakértő által is közzétett listákat, melyek egyes esetekben mintegy 280 szervezet nevét is tartalmazzák, a Sunburst vezérlőszervereivel való kommunikációja alapján sikerült összeállítani. A malware minden egyes áldozat esetében egyedi vezérlőszerver URL-t használt, amely valamennyi esetben az avsvmcloud.com egy aldoménjére mutatott. Míg a négy részből álló hivatkozás második és utolsó tagja állandó volt, a harmadik pedig (jó eséllyel az áldozat földrajzi régiójától függően) négy lehetséges variáns közül választották ki, addig az első tag egy elsőre véletlenszerűnek tűnő karaktersorból állt - későbbi elemzések során azonban kiderült, hogy az valójában az áldozatok helyi hálózati doménjeinek titkosított neve. Ezután az avsvmcloud felé tartó forgalom elemzésével a kutatók végül sikeresen visszafejtették a domének neveit, azok birtokában pedig az áldozatokat is azonosítani tudták.

A listák ugyanakkor egyelőre nem teljesek, azok kidolgozása jelenleg is zajlik. Az érintett cégek közül többen, így a Cisco és az Intel is megerősítette érintettségét az ügyben, korábban pedig a Microsoft is arról beszélt, telepítette rendszerein a malware-t tartalmazó Orion kiadást - noha a redmondi óriás nem talált illetéktelen adatgyűjtésre utaló jelet.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról