FireEye опубликовала доклад о взломе SolarWinds, ПО Orion Опции

[Console]

Компания FireEye сообщила некоторые подробности о серии атак, которым в этот уик-энд подверглись Министерство финансов США и Национальное управление по телекоммуникациям и информации (NTIA) Министерства торговли США. Об этом ранее информировали ведущие СМИ, включая Reuters, Washington Post и Wall Street Journal.

По имеющимся сведениям, ответственность за эти происшествия несут хакеры, скорее всего действовавшие по заказу иностранного государства. Им удалось взломать софтверную компанию SolarWinds и инфицировать вредоносным кодом SUNBURST обновление для её ПО Orion. Таким образом было осуществлено вторжение в сети многих американских компаний и государственных организаций, в том числе и в сеть самой FireEye.

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Точное число пострадавших от этой атаки неизвестно, но по информации Reuters инцидент стал причиной созыва экстренного совещания Совета по национальной безопасности, что говорит о том, какое значение ему придают в Белом Доме.

Источники Washington Post связывают данное вторжение с группой киберпреступников APT29, которые как считается работают на Службу внешней разведки России (СВР). Тем не менее, эксперты FireEye посчитали это предположение недостаточно обоснованным и дали гипотетическим злоумышленникам нейтральное обозначение, UNC2452.

В оповещениях системы безопасности, разосланных своим клиентам в воскресенье, Microsoft также предупредила о взломе SolarWinds и рекомендовала контрмеры тем из них, которые могли пострадать от компрометации ПО.

SolarWinds в воскресном пресс-релизе признала факт взлома Orion, программной платформы для централизованного мониторинга и администрирования, применяемой в крупных сетях для контроля всех подключенных ИТ-ресурсов — серверов, рабочих станций, мобильных устройств и оборудования IoT. Она сообщила, что инфицированными оказались апдейты Orion с 2019.4 по 2020.2.1, выпускавшиеся между мартом и июнем 2020 года.

В своём докладе, выпущенном сегодня, FireEye изложила техническую информации о коде SUNBURST, а также разместила на GitHub правила для его обнаружения. Microsoft дала этому же коду наименование Solorigate и добавила правила его обнаружения в своё антивирусное ПО Defender.

Стоит также отметить, что FireEye и сама пострадала от действий нацеленных против SolarWinds.

Вопреки первому впечатлению, данная хакерская кампания не была нацелена именно на США. «Среди жертв оказались государственные, консалтинговые, технологические, телекоммуникационные и добывающие предприятия в Северной Америке, Европе, Азии и на Ближнем Востоке. Мы ожидаем, что станет известно о дополнительных пострадавших в других странах и областях деятельности», — добавила FireEye.

SolarWinds во вторник собирается выпустить новый апдейт (2020.2.1 HF 2), который «заменяет скомпрометированный компонент и обеспечивает несколько дополнительных улучшений безопасности».

Со своей стороны, чрезвычайную директиву с инструкциями о том, как государственные органы могут обнаруживать и анализировать системы, взломанные ПО SUNBURST, также выпустило Агентство кибербезопасности и инфраструктуры США (CISA).

https://www.fireeye.com/blog/threat-researc...backdoor.html?1
https://ko.com.ua/fireeye_vypustila_tehnich...fin_ssha_135650

P.S. Удобненько, ломанули софт который вертит всю инфраструктуру.

CODE Format

Для тех, кому интересно.
Индикаторы по атаке SolarWinds
deftsecurity[.]com ,13.59.205.66
freescanonline[.]com ,54.193.127.66
thedoccloud[.]com ,54.215.192.52
websitetheme[.]com ,34.203.203.23
highdatabase[.]com ,139.99.115.204
incomeupdate[.]com,5.252.177.25
databasegalore[.]com,5.252.177.21
panhardware[.]com,204.188.205.176
zupertech[.]com,51.89.125.18
zupertech[.]com,167.114.213.199
#НКЦК

Сообщение отредактировал Console - Dec 14 2020, 21:23

[Koka-ftp]

Кста, кто в курсе, великий гугл сегодня падал только в странах СНГ?

[Console]

Кста, кто в курсе, великий гугл сегодня падал только в странах СНГ?

https://3dnews.ru/1027792/v-servisah-google...a-po-vsemu-miru

В работе сервисов Google случился массовый сбой. Из-за него пользователи по всему миру потеряли доступ к таким продуктам как YouTube, Google Диск, Google Аналитика и другим. Компания восстановила доступ к ним приблизительно через час.

Сообщение отредактировал Console - Dec 14 2020, 22:00

[Console]

Сервисы, которые требуют от пользователей входа в систему, выдавали большой коэффициент ошибок, пояснили в компании

"Сегодня из-за проблем с квотой внутреннего хранилища произошел сбой системы аутентификации – сервисы, которые требуют от пользователей входа в систему, выдавали большой коэффициент ошибок", – рассказали в Google.

[Allex]

Что-то мне подсказывает, что кто-то крупно дохакерствовался...

[Tiger]

Что-то мне подсказывает, что кто-то крупно дохакерствовался...

Что-то мне подсказывает что просто кто-то уронил SSO оборвав сессии и потом оно 40 минут просто переваривало login шторм.

[Console]

Все гораздо интересней..

https://www.facebook.com/photo/?fbid=109266...130395897408777

[Tiger]

Все гораздо интересней..

Если не фейк - это просто разпиздяйство дичайшее.

[Inferno2008]

SolarWinds's share price fell 25% in the days following the breach.[61] Insiders at the company traded $280 million in stock after the attack was revealed internally but prior to it being announced to the public. [62]

Ну да конечно русские хакиры Хотя всякое может быть

[Console]

Microsoft подтвердила, что взломщики SolarWinds получили доступ к её исходному коду

CODE Format

Сейчас неясно, какой объём информации об исходном коде Microsoft смогли получить в репозиториях хакеры, использовавшие программное обеспечение компании SolarWinds для взлома конфиденциальных правительственных сетей США и других организаций, но это сообщение предполагает, что они также были заинтересованы в ознакомлении с внутренней спецификой работы продуктов Microsoft.