SolarWinds Sunburst
Что такое SolarWinds Sunburst?
SolarWinds SunburstАтака на цепочку поставок 2020 года: бэкдор Sunburst встроили в обновления SolarWinds Orion, скомпрометировав ведомства США и глобальные компании.
Sunburst — троянизированный бэкдор, внедрённый в платформу управления ИТ SolarWinds Orion в марте–июне 2020 года и обнаруженный FireEye в декабре 2020 года. Атакующие скомпрометировали сборочный конвейер SolarWinds и добавили вредоносный код в законно подписанные обновления Orion, разошедшиеся по примерно 18 000 организаций. Подмножество жертв, включая Минфин, Минторг, Минюст и DHS США, FireEye и Microsoft, далее подверглось эксплуатации с применением имплантов TEARDROP и Cobalt Strike. Власти США атрибутировали кампанию UNC2452 / APT29 (СВР). Инцидент стимулировал масштабные реформы безопасности цепочки поставок ПО, включая SBOM и подписанные сборки.
● Примеры
- 01
Сервер Orion отправляет маяк на avsvmcloud.com и получает Cobalt Strike второй стадии.
- 02
Ведомство пересобирает Orion с чистых носителей и обновляет все SAML-сертификаты подписи.
● Частые вопросы
Что такое SolarWinds Sunburst?
Атака на цепочку поставок 2020 года: бэкдор Sunburst встроили в обновления SolarWinds Orion, скомпрометировав ведомства США и глобальные компании. Относится к категории Уязвимости в кибербезопасности.
Что означает SolarWinds Sunburst?
Атака на цепочку поставок 2020 года: бэкдор Sunburst встроили в обновления SolarWinds Orion, скомпрометировав ведомства США и глобальные компании.
Как работает SolarWinds Sunburst?
Sunburst — троянизированный бэкдор, внедрённый в платформу управления ИТ SolarWinds Orion в марте–июне 2020 года и обнаруженный FireEye в декабре 2020 года. Атакующие скомпрометировали сборочный конвейер SolarWinds и добавили вредоносный код в законно подписанные обновления Orion, разошедшиеся по примерно 18 000 организаций. Подмножество жертв, включая Минфин, Минторг, Минюст и DHS США, FireEye и Microsoft, далее подверглось эксплуатации с применением имплантов TEARDROP и Cobalt Strike. Власти США атрибутировали кампанию UNC2452 / APT29 (СВР). Инцидент стимулировал масштабные реформы безопасности цепочки поставок ПО, включая SBOM и подписанные сборки.
Как защититься от SolarWinds Sunburst?
Защита от SolarWinds Sunburst обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия SolarWinds Sunburst?
Распространённые альтернативные названия: UNC2452, Solorigate, Бэкдор Sunburst.
● Связанные термины
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- malware№ 080
Бэкдор
Скрытый механизм, обходящий обычную аутентификацию или контроль доступа и обеспечивающий злоумышленнику последующий вход в систему.
- defense-ops№ 193
Cobalt Strike
Коммерческая платформа симуляции противника, широко применяемая в red team и часто используемая злоумышленниками для пост-эксплуатации и управления узлами.