Supernova: kínai hackerek is célba vehették a Solarwinds szoftverét

Tovább göngyölődnek a Solarwinds botrány szálai: mint a SecureWorks biztonsági cég szakértői beszámoltak róla, az orosz állami hátterű elkövetőknek tulajdonított, ellátási lánc elleni támadással párhuzamosan egy jó eséllyel egy kínai hackercsoport is célba vette a texasi székhelyű vállalat szoftverét, azon keresztül pedig ügyfeleit.

A tavaly decemberben napvilágot látott Solarwinds botrány egy egészen idáig példátlan mértékű kibertámadás, amely főként az Egyesült Államokat célozta, de világszerte több ezer további céget is érintett - a károk elhárítása pedig jelenleg is zajlik. A biztonsági szakértők szerint orosz állami hátterű támadásban a texasi székhelyű SolarWinds hálózatkezelő szoftverét, az Oriont sikerült megfertőzni a Sunburst kártevővel. A rosszindulatú frissítés összesen közel 18 ezer szervezethez jutott el. A hackerek ugyanakkor a feltűnés elkerülése végett a fertőzött bázisnak csak töredékénél kezdtek információgyűjtésbe, így kilenc hónapig észrevétlenek maradtak többek között az USA Külügyminisztériumának, Belbiztonsági Minisztériumának, Kereskedelmi Minisztériumának, a Pentagon bizonyos hivatalainak sőt, a Nemzeti Nukleáris Biztonsági Ügynökség hálózatin is. Pesszimistább szakértők szerint a támadók által elhelyezett backdoorokat nem is lehet majd teljesen kigyomlálni az érintett rendszerekből.

A SecureWorks kutatói most újabb támadási vektort fedeztek fel: a .NET-alapú Supernova web shellt a támadók a már telepített Orion példányok egy a nyilvános weben keresztül elérhető sérülékenységét kihasználva helyezték el a rendszereken. A szakértők szerint utóbbi támadás mögött annak egyedi megkülönböztető jegyei alapján nem az orosz hackerek, hanem a kínai hátterű Spiral hackercsoport állhat.

A Supernovát először tavaly novemberben találták meg a biztonsági kutatók egy a SolarWinds Orion szoftverét használó ügyfél rendszerein. Korábban ugyanezt a hálózatot 2020 augusztusában is érte egy hasonló támadás, noha akkor egy sebezhető ManageEngine ServiceDesk szerver szolgált az elkövetők belépési pontjaként - mint kiderült az augusztusi támadást megelőző két éven keresztül. Az augusztusi incidenst kínai elkövetőknek tulajdonították, a novemberi akció hasonló karakterisztikái, illetve a tény, hogy ugyanazokat a szervereket célozta, pedig megerősíteni látszik a kutatók feltételezését, hogy mindkét esetben Kínából irányított támadásról van szó. Azt egyelőre nem tudni, hogy a Supernovával pontosan hány szervezet rendszereit vehették célba az elkövetők.

Az utóbbi napokban ez a második nagy kaliberű, kínai hackereknek tulajdonított kibertámadás, a Microsoft szerint az Exchange Server termékeiben nemrég foltozott sebezhetőségeket is a kínai hátterű Hafnium hackercsoport vette tűz alá, támadássorozata pedig világszerte potenciálisan több ezer céget érinthet.